Modificar el registro de sistema desde otro usuario

Uno de los problemas más comunes cuando tenemos un virus, es tener que acceder al registro de sistema usando el famoso regedit, que a buen seguro la infección en la maquina nos habrá capado el acceso. Si el programa que nos tiene "secuestrada" nuestra maquina no es demasiado "maquiavélico", nos dejará acceder usando el arranque de sistema en modo a prueba de fallos, pero como lo sea, las soluciones se acortan.

Yo, hasta ahora, cuando tenía que realizar una modificación en el registro de sistema y la maquina infectada no me lo permitía, solía acaba usando ya desesperado la opción "Restaurar sistema", que, ni es tan malo ni le pasa nada, pero es como una patada en los chips de nuestro amor propio, puesto que nos dejaba a merced del virus y era como una pequeña abdicación. Para mi, se han acabado las abdicaciones.

Buscando por la red, encontré esto y ahora os lo explico. Sí, se que podría poner el artículo donde lo encontré y que sería lo más justo y honroso por mi parte, pero no lo recuerdo, lo hice  en el portátil de un amigo a la bulla y no apunté la dirección. Lo siento. Los problemas del directo.

Lo primero que tenemos que hacer, es iniciar la maquina con un usuario limpio, ya sea el administrador o cualquier otro usuario que tenga creado el ordenador.

Esta explicación, la voy a hacer usando la vista de categorías del que soy el peor enemigo, pero reconozco que la mayoría de los usuarios lo tienen así en sus casas.

Hay que mostrar los archivos ocultos y los del sistema. Para ello, accedemos al Panel de Control y hacemos clic en Apariencia y personalización

Panel de Control / Apariencia y personalización

A continuación, seleccionamos Opciones de carpeta, lo cual nos abrirá una pantalla en la que podremos modificar los campos que necesitamos. Esto se podría haber hecho en un solo clic usando las otras vistas, por eso no me gusta la vista en categoría, en las otras vistas, las Opciones de carpeta, están en el menú principal del panel de control.

Vista de las Opciones de carpeta

En la ventana que se abre, aparecen una serie de pestañas, en la pestaña Ver, tenemos que activar la casilla Mostrar archivos, carpetas y unidades ocultos y desactivar la casilla Ocultar archivos protegidos del sistema operativo (recomendado). Como es lógico, cuando hacemos esta modificación nos dice que lo que hagamos puede dañar el sistema y más cosas, si queréis solucionar el problema, dadle a Aceptar. Presionamos el botón de Aceptar en la parte inferior de la ventana.

Las dos opciones y como deben quedar antes de aceptar

Presionamos la tecla Windows de nuestro teclado (entre el Ctrl y el Alt, normalmente). Una vez que lo hemos hecho, hacemos clic en Ejecutar (para Windows XP) o escribimos directamente en la barra de busqueda (Vista, 7 y 8) regedit.

Se abrirá por supuesto el registro de sistema del usuario que tenemos abierto y, de ninguna manera y en ningún sitio, encontraremos claves de registro del otro usuario del cual pretendemos hacer los cambios (esto lo sabéis, puesto que estáis visitando este artículo). Para abrir las claves de registro del otro usuario, tenemos que irnos al Registro HKU (HKEY_USERS)

Registro HKU 

Abrimos el menú Archivo, arriba a la izquierda de la ventana, donde encontraremos la opción Cargar árbol. Esto solo funcionará si estamos sobre la clave HKEY_USERS, en caso de estar en otra clave, NUNCA SALDRÁ PARA PODER SELECCIONARLO.

Menú Archivo desplegado mostrando sus opciones

Se abrirá una ventana del explorador de Windows para que seleccionemos el archivo sobre el cual queremos hacer la modificación, debemos buscar dentro de la carpeta de usuarios el que tengamos que cambiar. Mi consejo, si no sabéis localizar esta carpeta, en la barra superior de esta ventana, escribid %users% y presionad enter. El explorador os llevará a la carpeta de usuarios sin tener que darle muchas vueltas. Una vez allí, seleccionar el usuario del que deseáis limpiar el registro y entrar. Una vez dentro, buscad un archivo de nombre NTUSER.DAT, este y solo este, es el que contiene el registro de sistema de cada usuario, es completamente independiente uno de otro.

Explorador de archivos

El sistema os pedirá que indiquéis un nombre para este archivo y lo añadirá a la pestaña HKEY_USERS como una clave nueva. Es MUY IMPORTANTE  que recordéis que estos archivos el sistema los abre en modo exclusivo, esto quiere decir que, una vez que halláis realizado los cambios necesarios en el registro de este usuario, seleccionéis la clave que habréis creado, hagáis clic en Archivo y presionéis la opción Descargar árbol. Dentro de esta nueva clave que habéis creado, está íntegramente el HKEY_CURRENT_USER (HKCU) del usuario que hayáis seleccionado. Si no descargáis el árbol que habéis creado, una vez que cerréis el usuario que habéis abierto, el registro de sistema para este usuario, quedará bloqueado por el usuario con el que hemos realizado la modificación y nos abrirá el usuario que estamos arreglando, con un perfil temporal, donde no tendrá sus documentos, ni escritorio ni datos personales almacenados en su perfil de usuario.

Internet Security Pro 2013, ¡¡¡los virus atacan!!!

A todo el que le halla afectado este virus, se habrá asustado por el increíble número de archivos que no sabía que tenía infectado, avisado por un antivirus que no sabía que tenía instalado. Os pego un pantallazo de este nuevo "virus" que es un antivirus. La palabra técnica que lo define como tal es RogueWare.

Una ventana totalmente mimetizada te dirá que estás infectado

Según este programa, estaremos recibiendo ataques de un virus que se llama Win32.Brontok y unos cuantos más. Internet Security Pro 2013, que es el antivirus que te lo avisa, es en realidad el problema de seguridad.

Esto pretende ser un manual para poder eliminarlo por uno mismo, una guía de eliminación del virus (Removal Guide), sin usar programas  de terceros, removal tools ni nada más que nuestras manos. Para eso nos gusta la informática, ¿no?

Como es normal en todos los virus, la facilidad de quitarlo es ninguna. Lo principal que hay que hacer en estas situaciones, es acceder al registro del sistema para quitarlo con la mayor comodidad posible, pero el virus nos lo impide, aquí es cuando se nos abre nuestro pequeño abanico de opciones. Se puede restaurar una imagen del sistema en un punto de restauración anterior, pero, como siempre, eso no siempre está disponible y puede suponer perder algún programa que otro. Mi recomendación es modificar el registro del sistema desde otro usuario. Haciendolo así, solo tenemos que buscar dentro de HKCU/Microsoft/Windows/CurrentVersion/Run y allí nos encontraremos con un lanzador que activa el programa que asegura que tu equipo está infectado. Su nombre varía, pero será algo así como KD48KDDHK.exe o 6KG8FFJK4.exe... el nombre varía y si tuviera que poner una descripción más exacta, sería [CARACTERES_ALEATORIOS].exe

Una vez quitado, sería interesante eliminar estos archivos:

%AllUsersProfile%\[CARACTERES_ALEATORIOS].exe
%AppData%\Roaming\Microsoft\Windows\Templates\[CARACTERES_ALEATORIOS].exe
%Temp%\[CARACTERES_ALEATORIOS].exe

La pregunta que nos hacen los usuarios a continuación, suelen ser; pero si tengo antivirus, ¿Como me he infectado?, ¿Por donde me ha entrado?... y muchas más en esta misma línea. La realidad es bien simple. Este virus les ha entrado por hacer clic en algún sitio que no debían. Tan fácil como eso. Suele ser un banner, un enlace oculto, etc. Hay muchas formas de enganchar este virus.