Esta guia o tutorial nos muestra como darnos cuenta si estamos infectados por algun troyano y como inhabilitar

su ingreso, tanto total como parcialmente, a nuestro ordenador con un programa muy peqeo (216 Kb) llamado MATAPROCESOS Descargalo gratis de aca

Cuando uno ejecuta el MataProcesos un icono (una seal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colg, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo meti) haremos doble click en el STOP y se abrir una ventana con un listado de todos los procesos reales que se estn ejecutando en el momento, listados por nombre de archivo ejecutable. Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmacin. Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye tambin a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligndonos a reiniciar el ordenador. Este programa es til, por ejemplo, si estamos siendo vctima de un troy ano, es decir, alguien nos est "molestando", mostrando mensajes extraos en nuestra pantalla sin nuestra autorizacin, mostrandonos imgenes y abriendo y cerrando la bandeja de nuestro CD-ROM...

Usando el MataProcesos para sacarnos de un apuro

En ese caso, estamos frente a un autntico "Lamer" (que vendra a ser algo as como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). Cmo lleg hasta aqu este individuo? El, u otro similar a l, nos pas un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pas nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurri fu que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engaados. Ejecutamos, sin saberlo, un troyano. Tenemos que apurarnos a quitarnoslo de encima, porque por el momento tambin tiene acceso a nuestros archivos, para robarlos o borrarlos. El modo de usar el MataProcesos en este caso sera simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.

Cmo reconocemos al troyano? Bueno, suponiendo que la lista que

MataProcesos nos muestra es la siguiente:

C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSVR32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\PATCH.EXE C:\WINDOWS\WINDOW.EXE C:\WINDOWS\SYSTEM\ .EXE C:\WINDOWS\SYSTEM\NSSX.EXE C:\WINDOWS\RNAAPP.EXE C:\WINDOWS\TAPISVR.EXE C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE

En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. Cmo nos damos cuenta de eso? Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo est ejecutando. Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres ltimas, pero es ms seguro descartarlas cuando conocemos la funcin de cada una de ellas), veamos:

C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE
es ni ms ni menos que el ICQ, si lo matamos, se nos cierra el ICQ. [size=11]C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE [/size] se trata, como se podrn imaginar, del Outlook Express.

C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE
este es tanto o ms obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. Tambin hay que conocer otros procesos comunes de Windows, y cmo lo hacemos? si se trata de algunos de los que ya nombr, yo mismo voy a presentarselos, pero si son otros que no se mustran aqu, probablemente con el mtodo de "prueba y error". Veamos:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
Este es el "corazn" del Windows, si lo cerramos, tendremos que reiniciar.

C:\WINDOWS\SYSTEM\MSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.

C:\WINDOWS\SYSTEM\mmtask.tsk
Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.

C:\WINDOWS\EXPLORER.EXE
Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. Tambin gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automticamente)

C:\WINDOWS\TASKMON.EXE
Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qu funcin cumplen, a menos que no nos moleste vernos obligados a reiniciar...

C:\WINDOWS\SYSTEM\SYSTRAY.EXE
Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos d el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.

C:\WINDOWS\RNAAPP.EXE C:\WINDOWS\TAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexin se corta y no podremos volver a conectarnos hasta reiniciar la computadora. Pues bien, qu nos queda?

C:\WINDOWS\PATCH.EXE C:\WINDOWS\WINDOW.EXE C:\WINDOWS\SYSTEM\ .EXE C:\WINDOWS\SYSTEM\NSSX.EXE

Ja! se trata ni ms ni menos que de cuatro troyanos! Toda una exageracin... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... Cmo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tn famosos que no hace falta hacer las comprobaciones...

C:\WINDOWS\PATCH.EXE
es el maldito patch del NETBUS

C:\WINDOWS\SYSTEM\ .EXE
es el servidor del Back Orifice

C:\WINDOWS\SYSTEM\NSSX.EXE
es el servidor del NetSphere

C:\WINDOWS\WINDOW.EXE
es un troyano, aunque no s exactamente cul... (probablemente SubSeven o una

versin levemente modificada del NetBus) Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdi totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fu modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la prxima vez que reiniciemos los troyanos estn nuevamente all! Para librarnos de ellos para siempre leamos los siguientes puntos... Aclaraciones: 1)Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Aca tenes un enlace directo para bajarlos.

2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano Existe una aplicacin llamada Netstat, y est ubicada en C:\WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos. Para hacerlo correctamente hay que seguir los siguientes pasos: a) Nos desconectamos de Internet b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat Outlook - Outlook Express - etc... c) Ejecutamos el MataProcesos d) Ejecutamos una ventana de DOS e) En la lnea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Direccin local" con el formato: <nombre_de_nuestra_pc>:<puerto> Por ejemplo, podramos tener el siguiente listado:

Lo cual significa que tenemos procesos en nuestro ordenador que estn esperando coneccin en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035. f) Comenzamos a matar, uno por uno, los procesos que no sabemos que funcin cumplen. Si matamos alguno que no debamos, y el ordenador se bloquea, ya

sabemos para la prxima vez que ese proceso no es un troyano, y que no hay que matarlo Ejemplo: decido matar al proceso llamado:

C:\WINDOWS\SYSTEM\NSSX.EXE
que es muy sospechoso... Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:

Por suspuesto!!! Se han cerrado tres puertos!! (30100, 3010 1 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningn programa que nosotros hayamos instalado, y de que el sistema contina ejecutndose sin ningn problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la prxima vez que reiniciemos. Para eso usamos el comando "RENAME C:\WINDOWS\SYSTEM\NSSX.EXE

C:\WINDOWS\SYSTEM\NSSX.EX_".
Ntese que tn solo le cambiamos la extensin, para, en caso de habernos equivocado, recuperar el archivo fcilmente. Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutndose no podramos modificar ni borrar el NSSX.EXE Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:\WINDOWS\SYSTEM, buscar el archivo NSSX.EXE y situados sobre l presionar F2, escribir el nuevo nombre y listo! Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podramos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendamos la mquina. La entrada est dentro de la rama:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y es la siguiente: "NSSX" y su valor es "C:\WINDOWS\system\nssx.exe" Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar. Hay que tener cuidado y mirar bien lo que borran. El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo. Sigamos con otro ejemplo, sabemo s que la lista del "Netstat -a" es ahora ms corta:

Pues bien, ahora procedamos a cerrar el proceso: C:\WINDOWS\WINDOW.EXE El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y...

Ohhhhh!! Se han cerrado otros tres puert os! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar ms, o menos).

Prximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca

ms, vamos a la ventana de DOS, y escribimos: "RENAME

C:\WINDOWS\WINDOW.EXE C:\WINDOWS\WINDOW.EX_"
Como ya dije, tambin podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector. Como en mi caso, por experiencia, s que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera ms puertos abiertos, (en el ejemplo que d al principio haba cuatro troyanos y no dos) continuara haciendolo hasta encontrarlos todos. Quiero aclarar que no es muy comun que un ordenador est lleno de troyanos como en estos ejemplos, pero si notan que alguien est molestndolos de un modo extrao cuando entran a Internet, intenten con esta "limpieza". Otra aclaracin: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la mquina. Slo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.