VSantivirus No 2581 Año 11, jueves 15 de noviembre de 2007
Ridnu.NAA. Se propaga por email, crea múltiples copias
http://www.vsantivirus.com/ridnu-naa.htm
Nombre: Ridnu.NAA
Nombre NOD32: Win32/Ridnu.NAA
Tipo: Gusano de Internet
Alias: Ridnu.NAA, Win32/Ridnu.NAA
Fecha: 23/feb/07
Actualizado: 15/nov/07
Plataforma: Windows 32-bit
Tamaño: 138,360 bytes
Gusano que se propaga vía correo electrónico infectado. Puede finalizar la ejecución de determinados procesos.
El gusano busca direcciones electrónicas en archivos de la máquina infectada, para enviar mensajes con una copia de si mismo como adjunto. Los correos utilizados para propagarse, poseen las siguientes características:
Asunto: [uno de los siguientes]
Ketika Rindu bertemu Kangen
Lama Tak Jumpa
Ketika Kangen bertemu Rindu
I miss U
Still Remember???
Please Remember Me.
I Miss You So Much !
Shall I Be The One For You ?
Don't Forget Me,please!
Remember Our Past?
Rindu Yang Tak Tertahankan
Please Come Back!
I don't wish to lost you again!
Malarindu Tropikangen
Re:
Texto del mensaje: [uno de los siguientes]
I wanna be you friend. So I give you a little present ^_^
Ehm,....would you like to be my friend ?
Please check, tell me if you like it ^_^.
Will I meet You my old friend...
I miss You, I give you a file that will remind you...
Dear My Sweetie..
Here is the file, Thank you for your friendship.
Please, don't forget me...Ok! Take a look at the attacment,
you will remember me.
I am missing you, please come back...
I give you the proof that I miss you so much!
Shall I be the one for you?
Still remember me ???
Do you remember me?
Here, the file that you want
Finally, I found the data !, what do you think ??
Sorry, I forget to send you the document.
I'm oversleep.
Please check, told me if there's a mistake.
Take this, please tell me if there's an error.
Dear My Friend..
Here is the file, Thank you for your cooperative.
Datos adjuntos: [uno de los siguientes]
Beauty ScreenSaver.scr
Crack.exe
CuteGame3.0 Installer.com
Data.doc .pif
Friend Reminder.doc .exe
I_Miss_U.doc .pif
Kangen dan Rindu bersatu.tmp .pif
Kenangan Cinta.doc .pif
Keygen.exe
Love_U_So_Much.txt .pif
LoveGame.bmp .exe
Mahasiswi Cantik.scr
MindMap.exe
My_Beloved.doc .exe
MyMind.doc .pif
Namo7.0_Installer.com
NetMeeting.com
Our_Memory.ppt .pif
Rindu dan Kangen bersatu.txt .pif
Rindu.doc .exe
SweetMemory.doc .pif
Tutorial.ppt .pif
www.Hacking_Tool.bat
www.lovestory.com
Cuando se ejecuta, puede copiarse en diferentes ubicaciones con los siguientes archivos:
[nombre al azar].exe
Bangka Island.scr
DNALSI_AKGNAB.exe
DNALSI_AKGNAB.exe.mutant
explorer.exe
inf4D2.tmp
Lapangan Merdeka.scr
Message For My Princess.scr
Mr_CF\Mr_CF.exe
Mr_CF_Mutation.Excalibur
Mr_CoolFace.exe
Mr_CoolFace.scr
msvbvm60.dll
Negeri Serumpun Sebalai .pif .bat .com .scr .exe
Pangkalpinang.scr
Pantai Parai.scr
Pantai Pasir Padi.scr
Sahang dan Timah.scr
SMA Negeri 1 Pangkalpinang.exe
Tanjung Pesona.scr
winlogon.exe
Note que algunos nombres son similares a archivos legítimos de Windows, pero en diferentes ubicaciones. NO LOS ELIMINE sin comprobar que el antivirus los detecta como infectados.
Los siguientes archivos pueden ser creados por el gusano:
\Mr_CF\Desktop.ini
\Mr_CF\Folder.htt
Autorun.inf
C:\Mutant.htm
Mutant.exe
Polymorph1.exe
Polymorph2.exe
Sahang.exe
Timah.exe
Las siguientes entradas son creadas en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Userinit =
"c:\windows\system32\userinit.exe, C:\explorer.exe"
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = "explorer.exe C:\explorer.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "[nombre al azar].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Append____________Nempel_Serv1ce = "explorer.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kata_Sambutan = "Mr_CoolFace_Datang_Lagi"
Las siguientes entradas son creadas o modificadas por el gusano, para dificultar su eliminación:
HKCU\Control Panel\Desktop
ScreenSaveTimeOut = "60"
HKCU\Control Panel\Desktop
SCRNSAVE.EXE = "MR_COO~1.SCR"
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = "C:\Mutant.htm"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "2"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
HideFileExt = "1"
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\CabinetState
FullPath = "1"
HKLM\SOFTWARE\Classes\exefile
(Predeterminado) = "File Folder"
HKLM\SOFTWARE\Classes\scrfile
(Predeterminado) = "File Folder"
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\ANSAV.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\ANSAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\calc.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\ccapp.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\CClaw.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\freecell.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\mshearts.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Nip.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Nipsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Niu.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Njeeves.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\notepad.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Nvccf.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Nvcoas.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Nvcod.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Nvcsched.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\PCMAV.EXE
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\sol.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\spider.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options
\URemovalCRC32.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\winamp.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\winmine.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Zanda.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\Zlh.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\SuperHidden
UncheckedValue = "0"
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = "C:\explorer.exe"
HKLM\SYSTEM\ControlSet002\Control\SafeBoot
AlternateShell = "C:\explorer.exe"
HKLM\SYSTEM\ControlSet003\Control\SafeBoot
"AlternateShell" = "C:\explorer.exe"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = "C:\explorer.exe"
El gusano intenta crear los siguientes archivos en unidades removibles o mapeadas, con los siguientes nombres (algunos de estos archivos son copias de si mismo):
Autorun.inf
Beautiful Lady.scr
Mr_CF\Folder.htt
Mr_CF\Mr_CF.exe
Mr_CoolFace.scr
También puede crear copias de si mismo en cada disco, usando como nombres, los mismos de aquellos archivos con las siguientes extensiones que pueda encontrar, pero agregando a la copia la extensión
.SCR:
.3Gp
.3GP
.3gp
.Avi
.AVI
.avi
.BAT
.bat
.BMP
.bmp
.Doc
.DOC
.doc
.Exe
.exe
.GIF
.gif
.HTM
.htm
.HTML
.html
.INF
.inf
.Jpeg
.JPEG
.jpeg
.Jpg
.JPG
.jpg
.MDB
.mdb
.Mid
.MID
.mid
.MIDI
.Midi
.midi
.mov
.Mov
.MOV
.Mp3
.MP3
.mp3
.Mp4
.MP4
.mp4
.Mpg
.MPG
.mpg
.PDF
.pdf
.PNG
.png
.PPT
.ppt
.RAR
.rar
.Rtf
.RTF
.rtf
.scr
.SWF
.swf
.TXT
.txt
.Wma
.WMA
.wma
.Wmv
.WMV
.wmv
.XLS
.xls
.ZIP
.zip
El gusano monitorea si existe alguna ventana abierta con algunas de las siguientes cadenas en su nombre:
COPYING..
CREATE NEW TASK
DELETING..
FREECELL
HEARTS
MINESWEEPER
MOVING..
MY DOCUMENTS
Notepad
NOTEPAD
PINBALL
RUN
SOLITAIRE
UNTITLED
Si las encuentra, puede cambiar su nombre por uno de los siguientes:
Message For My Princess
Mr_CoolFace
Mr_CoolFace Has Come !
Sedang Memindahkan...
Sedang Menghapus...
Sedang Mengopy...
El gusano puede finalizar cualquier programa cuya ventana tenga algunas de las siguientes cadenas en su nombre:
ABLE
AD HIE
AD_HIE
AD-AWARE
ADHIE
ANTI
ANVIE
ANVIR
AnVir
AVAS
AVG
AVIRA
AVP
BACA BRO
BITDEF
BLACKICE
BLUESCREEN
CabinetW
CASTLECOP
CBAV
CILIN
CLEANER
client008.exe
COMMAND BRO
COMPACTBYTE
CONFIGURATION UTILITY
ConsoleW
CUEX
CURR PROCESS
CURRPROCESS
CurrProcess
CHRIS PC
DEWA
DR.WEB
EARTHLINK PROTECTION
ERTANTO
EVANTA
EXTENSION TEST
FAJAR
FLAMMING WALL
FOLDER OPTION
FORCE
F-SECURE
GEOBLACK
GRISOFT
HACKER
HELLSPAWN
HIJACK
I KNOW
I*N
IDI0T
IDIOT
IKNOW
JAMILA
JOWOBOT
KASPERSKY
LUKE FILEWALKER
MACAN
MACHINE
MALWARE
MCAFEE
MEDIA PLAYER
MIGHTY CHICKEN
MIGHTYCHICKEN
MMC
MP 3
MP3
Multikiller
Multikiller2
MUSIC
MUSIK
NORMAN
NORTON
NOTESXP
NVC
OPTIX PRO
PANDA
PCMAV
PCSUMMARIZER
PINNACLE
PLUTO
POP3TRAP
POWER TOOL
POWERDVD
POWERTOOL
PrcView
PROCESS EXPLORER
Process Explorer
PROCESS INFO
PROCESS MANAGER
PROCESS MONITOR
PROCESS VIEWER
Process Viewer
PROCESSINFO
PROCESSMANAGER
PROCESSMONITOR
PROCEXP
PROCEXPL
PUSH M
PUSH_M
PUSHM
QKILL
REALPLAYER
REG FIX
REGCURE
RegEdit
REGFIX
REGISTRY
Registry Editor
rellikitlMultikiller
REMOVA
REMOVER
REMOVI
RESULT DETAIL
RHAPSODY
RORO
RTLRACK
SCANNING STATISTIC
SEARCH RESULTS
SECUNIA
SECURITY TASK
SIKUP
SING
SONG
SOPHOS
SPIDER
SPY
SPYWARE
STARTUP ORGANIZER
SYMANTEC
SYSINTERNAL
System Configuration Utility
System Restore
TASK
TASK INFO
TASK MANAGER
TASKGUARDIAN
TASKINFO
TASKMANAGER
TASKS MANAGER
TForm1
TMainF
TmainF
TREND
TROJAN
TShowSplash
TSystemCleaner
TUNE
TWEAK
VAKSIN
VIROLOG
VIRUS
Warecase
WASHER
WAV V
WIN TASK
WINAMP
WINPATROL
WINTASK
WORM
X4NDR05
XNADROS
YOHAN
ZANDA
Zanda's little helper
ZX 1
ZX I
ZX_1
ZX_I
ZX1
ZXI
El gusano puede suplantar el editor del registro por una copia de si mismo, por lo que se debe restaurar el mismo antes de editar manualmente el registro (C:\WINDOWS\regedit.exe).
Puede mostrar una ventana con el siguiente título y mensaje:
Mr_CoolFace Mohon Maaf Lahir Dan Batin
Please Pardon Me Ya !
Puede abrir la bandeja del CD/DVD.
También puede bloquear el teclado y el ratón.
Puede ingresar algunas de las siguientes cadenas en los procesos en ejecución:
DEAR MY PRINCESS
WHEN THE STARS FILL THE SKY I WILL MEET YOU MY LOVELY PRINCESS
I MISS YOU SO MUCH MY PRINCESS
IN MY DEAREST MEMORY I SEE YOU REACHING OUT TO ME
I WILL REMEMBER YOU AS LONG AS YOU REMEMBER ME
IN YOUR DEAREST MEMORY DO YOU REMEMBER LOVING ME
PLEASE DO NOT FORGET OUR PAST
DID YOU KNOW THAT I HAD MIND ON YOU
I NEVER WISH TO LOSE YOU AGAIN
SHALL I BE THE ONE FOR YOU
I WANNA TAKE YOU TO MY PALACE
I WILL TAKE YOU TO OUR UTOPIA
I AM FALLING IN LOVE WITH YOU
I WILL BE WAITING FOR YOU
I DO NOT WANT TO SAY GOOD BYE TO YOU
PLEASE DO NOT FORGET YOUR PRINCE
I SAW YOU SMILING AT ME WAS IT REAL OR JUST MY FANTASY
YOU WILL ALWAYS IN MY HEART
YOU ALWAYS IN MY DREAMS
I ALWAYS SEE YOU IN MY DREAMS
I HAVE BEEN POISONED BY YOUR LOVE
I MISS YOU I AM STILL LOOKING FOR YOU
I WILL BE THERE I WILL BE WAITING FOR YOU
PLEASE COME BACK TO OUR BEAUTY ISLAND
I MISS YOUR CUTE SMILE
MR COOLFACE !
Reparación manual
NOTA: Esta descripción se aplica a una variante específica de un determinado malware. Pueden existir numerosas versiones, detectadas por ESET NOD32 con el mismo nombre, que no necesariamente realizarán los mismos cambios en el sistema que aquí se describen.
Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Módulos de actualización, NOD32 Update y haga clic en el botón "Actualizar ahora". Compruebe que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar automáticamente" en su antivirus. En el caso de ESET NOD32, seleccione Control Center, NOD32 Scanner, haga clic en el botón "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar" cuando aparezca, o en el botón "Eliminar" cuando el botón "Desinfectar" no esté activo. En cualquier otro caso, el antivirus le dará el mensaje "sin acciones" y la limpieza se efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar automáticamente".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
3. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque la entrada "Userinit" bajo la columna "Nombre". Modifique el valor de "Userinit" para que aparezca solo esto:
C:\WINDOWS\system32\userinit.exe,
4. Busque la entrada "Shell", también bajo la columna "Nombre", y modifique su valor para que aparezca solo esto:
Explorer.exe
5. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".
7. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Control Panel
\Desktop
8. Haga clic en la carpeta "Desktop" y borre las siguientes entradas:
ScreenSaveTimeOut = "60"
SCRNSAVE.EXE = "MR_COO~1.SCR"
9. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
10. Haga clic en la carpeta "Advanced" y modifique los valores de las siguientes entradas por los siguientes:
Hidden = "1"
HideFileExt = "0"
11. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\CabinetState
12. Haga clic en la carpeta "CabinetState" y modifique el valor de la siguiente entrada por el siguiente:
FullPath = "0"
13. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile
14. Haga clic en la carpeta "exefile" y modifique el valor de la siguiente entrada por el siguiente:
(Predeterminado) = "Aplicación"
15. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\scrfile
16. Haga clic en la carpeta "scrfile" y modifique el valor de la siguiente entrada por el siguiente:
(Predeterminado) = "Protector de pantalla"
17. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Image File Execution Options
18. Haga clic en la carpeta "Image File Execution Options" y borre las siguientes subcarpetas:
\ANSAV.exe
\ANSAV32.exe
\calc.exe
\ccapp.exe
\CClaw.exe
\cmd.exe
\freecell.exe
\msconfig.exe
\mshearts.exe
\Nip.exe
\Nipsvc.exe
\Niu.exe
\Njeeves.exe
\notepad.exe
\Nvccf.exe
\Nvcoas.exe
\Nvcod.exe
\Nvcsched.exe
\PCMAV.EXE
\regedit.exe
\sol.exe
\spider.exe
\taskkill.exe
\tasklist.exe
\taskmgr.exe
\URemovalCRC32.exe
\winamp.exe
\winmine.exe
\Zanda.exe
\Zlh.exe
19. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\SuperHidden
20. Haga clic en la carpeta "SuperHidden" y modifique el valor de la siguiente entrada por el siguiente:
UncheckedValue = "1"
21. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\Windows NT
\SystemRestore
22. Haga clic en la carpeta "SystemRestore" y bórrela.
23. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Control
\SafeBoot
24. Haga clic en la carpeta "SafeBoot" y modifique el valor de la siguiente entrada por el siguiente:
AlternateShell = "cmd.exe"
25. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet002
\Control
\SafeBoot
26. Haga clic en la carpeta "SafeBoot" y modifique el valor de la siguiente entrada por el siguiente:
AlternateShell = "cmd.exe"
27. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet003
\Control
\SafeBoot
28. Haga clic en la carpeta "SafeBoot" y modifique el valor de la siguiente entrada por el siguiente:
AlternateShell = "cmd.exe"
29. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
30. Haga clic en la carpeta "SafeBoot" y modifique el valor de la siguiente entrada por el siguiente:
AlternateShell = "cmd.exe"
31. Cierre el editor del registro.
32. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
Cómo restaurar página de inicio y búsqueda en IE
http://www.vsantivirus.com/faq-inicio-busqueda.htm
Utilización de la Consola de Recuperación en Windows XP
http://www.vsantivirus.com/consola-recuperacion-xp.htm
Deshabilitar restauración del sistema en Windows Vista
http://www.vsantivirus.com/faq-winvista.htm
Deshabilitar restauración del sistema en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Deshabilitar restauración del sistema en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|