martes, 3 de marzo de 2009

Desabilitado El administrador de Tareas y el editor del registro

Hola a todos, llego un usuario con un problema en su PC resulta que tenia muchos virus en el disco duro y algunos de estos habían infectado el mismo, luego de haber escaneado el sistema con el F-secure me borro un algunos virus pero como digo ya habían infectado el sistema, de manera que revise los programas que se ejecutan al arrancar la máquina con el msconfig (inicio, ejecutar, msconfig) encontré que el programa scvhost.exe arrancaba con el sistema, enrealidad borrarlo no es problema, asi que desactive la casilla que le permitía arrancar, reinicie la máquina y borre el ejecutable de c:/windows/system32/ pero cuando iba a borrar las claves referentes a ese ejecutable del regedit me aparecía un mensaje que decía "El administrador ha deshabilitado la modificación del Registro" aparte de eso también estaba deshabilitado el administrador de tareas, por lo que seguí el siguiente procedimiento.

Básicamente para habilitar el regedit se deben agregar las claves de esta herramienta UnHookExec.inf (te la descargas click derecho instalar)

Para habilitar el administrador de tareas: ingresar en el editor de políticas locales de windows gpedit.msc (inicio, ejecutar, gpedit.msc) he ir a Configuración de usuario/Plantillas administrativas/Sistema/Opciones de Ctrl+Alt+Sup y deshabilitamos la opción quitar Administrador de Tareas. Si el autorun tambien esta desabilitado desde el regedit o con un editor del registro (RegAlyzer en mi caso) Nos vamos a la clave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer y borramos la clave NoRun.

Suelen darse casos en que el simbolo del sistema tambien esta desabilitado en este caso desde el gpedit.msc nos vamos a Configuración de usuario/Plantillas administrativas/Sistema/impedir el acceso al simbolo de sistema/ y marcamos en la opción deshabilitar.

Creo que esto cubre todos las herramientas de administración que pueden desactivar algunos virus, cabe recalcar que todo este proceso lo he seguido una vez que el antivirus a detectado y borrado todos los virus, en otra entrada publicaré sobre las herramientas de desinfección que generalmente utilizo, espero que esto le sirva a alguien y hasta otra entrada.

No hay comentarios:

Publicar un comentario