sábado, 10 de abril de 2010

8: Restauración de función ver archivos ocultos

Es posible que como parte de la infección original la máquina haya sido infectada o esté en el proceso de ser infectada por uno o varios troyanos que nos deshabilitan la opción de Windows para poder activar la capacidad para ver archivos ocultos, con lo cual al ser invisibles los archivos maliciosos estos no pueden ser borrados manualmente. Esto será obvio cuando el usuario use las herramientas usuales de Windows para poder ver los archivos ocultos (yendo a la barra del menú del Windows Explorer y seleccionando en “Herramientas” la pestaña “Ver” de la opción “Opciones de carpeta...”), ya que en cuanto ha activado “Mostrar todos los archivos y carpetas ocultos” al cerrar la ventana y volver a abrirla descubrirá que dicha opción ha vuelto a ser desactivada casi de inmediato por el mismo troyano que la deshabilitó, un troyano que está ejecutándose sin parar reactivándola indefinidamente. Cuando esto ocurre, los archivos ocultos no son mostrados ni siquiera a través de la ventana “Resultados de la búsqueda” accesible mediante la línea “Buscar” a la cual llegamos por el botón de “Inicio”:





Si tal es el caso, es necesario llevar a cabo los procedimientos que se indican a continuación.

1) Encendemos la computadora (si es que no estaba encendida) en el “Modo seguro” (Safe mode) con la opresión de la tecla F8 cuando la computadora se está encendiendo, y al entrar en ella pedimos entrar con privilegios de “Administrador”.

2) Tras esto, tratamos de activar la opción para “Mostrar todos los archivos y carpetas ocultos” yendo a la barra del menú del Windows Explorer y seleccionando en “Herramientas” la pestaña “Ver” de la opción “Opciones de carpeta...”. Activamos la opción “Mostrar todos los archivos y carpetas ocultosasegurándonos de oprimir también el botón que dice “Aplicar a todas las carpetas”. Salimos de la ventana de “Herramientas” y volvemos a entrar a ella para ver si la opción sigue activada. Si no lo está, entonces tenemos la confirmación de una infección informática que está tratando de evitar que podamos ver los archivos y carpetas ocultos.

3) Habiéndonos asegurado ya de que opción para “Mostrar todos los archivos y carpetas ocultos” está siendo desactivada cada vez que la volvemos a activar, primero que nada recurrimos al “Editor del Registro” descrito en la entrada “Remoción manual del virus Spyware Protect”, para el cual recurrimos al botón de “Inicio” (Start) yéndonos tras esto a la línea “Ejecutar...” y tras escribir en la línea en blanco “regedit” (sin las comillas), y oprimir el botón “Aceptar” (OK) se nos abre el “Editor del Registro”. Cada vez que le metemos mano al Editor del Registro es importante hacer suna copia de reserva del en caso de que algo salga mal con la cual podemos volver sin problemas a la situación anterior, en caso de cometer equivocaciones. Una vez abierto el Editor del Registro, buscamos la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden

Verifíquese el valor numérico en las dos líneas “CheckedValue” y “DefaultValue” de las entradas cuyos nombres son “NOHIDDEN” y “SHOWALL” (estas están dadas por la ausencia o la presencia de la palomita que ponemos con la ayuda de la opción “Herramientas” bajo la la pestaña “Ver” en el Explorer de Windows, cada vez que quitamos o ponemos la palomita en “Mostrar todos los archivos y carpetas ocultos” se cambia el valor numérico de una de las líneas en una de estas entradas en el Registro). En una computadora sana que no ha sido infectada el valor de ambas líneas “CheckedValue” y ”DefaultValue” en ambas entradas “NOHIDDEN” y “SHOWALL” normalmente muestran un valor de 2 puesto bajo “Datos” como la hilera hexadecimal:

0x00000002 (2)

Cuando se ha activado ya sea por cuenta nuestra o por intervención ajena causada por una infección informática viral la opción “No mostrar archivos ni carpetas ocultos”, cualquiera de las líneas “CheckedValue” o ”DefaultValue” o ambas en las entradas “NOHIDDEN” y “SHOWALL” habrán cambiado de valor.

4) Para restablecer la capacidad de poder ver los archivos ocultos cuando no se puede hacer a través del Windows Explorer en la opción “Herramientas” con la pestaña “Ver” bajo la opción “Opciones de carpeta...”, estando en:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

cambiamos la entrada “CheckedValue” a 2 (hay que hacer doble “clic” para poder editar dicho valor). Podemos hacer esto en el ventanal derecho del Editor del Registro haciendo clic con el botón derecho del mouse y el cursor puesto dentro de la palabra “CheckedValue” (cuyo “Tipo” normalmente debe ser REG_SZ y cuyo “Datos” normalmente debe ser 2) seleccionando “Eliminar” para borrar dicha línea. Tras esto, haciendo clic con el botón derecho del mouse dentro de cualquier parte del área blanca del ventanal derecho, al aparecer la cajita que dice “Nuevo” creamos un nuevo “Valor DWORD” al cual cambiaremos el nombre a “CheckedValue” (mismo nombre de la entrada que acabamos de eliminar). Modificamos el valor del dato para que sea 1, o sea:

0×00000001

haciendo clic con el botón derecho del mouse en “CheckedValue” en el ventanal derecho y cambiando el valor del dato a 1.

Mientras no se haya guardado el Registro ya editado como se acaba de describir arriba, todos los cambios son reversibles.

Hecho lo anterior, cerramos el Editor del Registro y abrimos el Explorer de Windows con el ícono “Mi PC”. La capacidad para poder ver archivos ocultos debe haber quedado restablecida, y podemos activarla si queremos. Si no ocurre así, se puede tener la seguridad absoluta de que se está ejecutando todo el tiempo un programa que está volviendo a cambiar los anteriores valores en el Registro, posiblemente el mismo programa que los cambió desde un principio.

En caso de persistir una infección informática que persiste en seguir desactivando la capacidad para poder ver archivos ocultos, un remedio temporal consiste en bajar de la red (de otra computadora no infectada) el paquete antiviral AVG Free de algún lugar como http://free.avg.com/ o como http://grisoft.com, el cual puede correr por encima de cualquier otro paquete de proteccion antivirus como Kaspersky, y el cual trabaja bien en la remoción de troyanos que interfieren con la capacidad para buscar archivos ocultos. Desafortunadamente, se trata de un paquete voluminoso que para marzo de 2009 tenía un peso de 60 Mb, y tal vez sea utilizado como un remedio temporal.

Hecho lo anterior, podemos llevar a cabo una búsqueda de un archivo infector como autorun.inf (el principal troyano infector de todos, causante de la transmisión del mismo a través de los medios de almacenamiento portátiles como discos duros móviles o flash drives) mediante el procedimiento siguiente:

1) Recurrimos al botón de “Inicio” (Start).

2) Nos vamos a la línea “Ejecutar...”.

3) En la ventana de “Ejecutar...” escribimos en la línea en blanco “cmd” (sin las comillas), y oprimimos el botón “Aceptar” (OK).

4) En la ventana de comandos negra que se abre escribimos

cd c:\

y oprimimos la tecla “Intro” (Enter) del teclado (esto nos lleva al directorio raíz que es el disco duro de la computadora).

5) Nuevamente, en la ventana de comandos escribimos

attrib -r -s -h -a

y oprimimos la tecla “Intro” (Enter) del teclado (este último paso forzará a los archivos ocultos a ser mostrados bajo la ventana de comandos).

Es posible que además de otros archivos legítimos de Windows tales como CONFIG.SYS, boot.ini, AUTOEXEC.BAT, IO.SYS, MSDOS.SYS, PAGEFILE.SYS, NTDETECT.COM, Bootfont.bin, ntldr y hiberfile.sys (los cuales forman parte de la instalación original de Windows y suponemos que no están infectados) veamos a un archivo infector como autorun.inf. Si es así, es necesario eliminar dicho archivo allí mismo con el comando DOS del de la manera siguiente:

c:\del autorun.inf

y hecho esto, podemos salir de la ventana de comandos DOS.

Para mayor efectividad, podemos tratar de recurrir no a la ventana de comandos que obtenemos desde adentro de Windows XP, sino a la ventana de comandos que obtenemos al arrancar la computadora en modo seguro. Para ver el procedimiento de ello, consúltese la entrada “Eliminación manual del virus olhrwef.exe” que acompaña a este trabajo.