jueves, 14 de abril de 2011

Dragones.

En la película “Cómo entrenar a tu Dragón” hay un momento en que al protagonista le muestran un libro que tiene un extenso catálogo de dragones, con su peligrosidad, formas de ataque y modo de combatir. Nuestro héroe no tarda en comprobar que el libro es inútil porque a pesar de contener mucha información acerca de cada dragón, a la hora de enumerar métodos de defensa todos decían lo mismo: “Muy peligroso. Tirar a matar”.

Los que hacemos soporte técnico conocemos la sensación. Quizás de un modo menos épico pero no sin entusiasmo, nos enfrentamos con distintos tipos de alimañas, entre las que cuentan los virus. Y no han sido pocas las veces en las que, buscando algun método eficiente para deshacernos de alguno, nos topamos con el famoso “tirar a matar”.

La mayor parte de las páginas con información acerca de virus y métodos de remoción son como estas: Ejemplo1 , ejemplo2 .

Estos son los primeros resultados de una búsqueda acerca de la dupla de virus mgking.exe/arking.exe, conocidos y molestos virus de pendrive. Podemos notar a simple vista que las páginas están hechas con una plantilla, en la que se han rellenado los datos de los archivos y claves de registro que crea el virus, y el modo en que los antivirus lo llaman.

Y es completamente entendible, claro. Los virus mutan mucho mas que los dragones, y mantener un archivo extenso es una tarea que reite de Sísifo. Los pobres vendedores de lo que sea que vendan estas páginas tienen demasiado trabajo persiguiendo las búsquedas mas realizadas, tratando de recibir visitas a costa de agrandar su catálogo de páginas todas-con-la-misma-recomendación.

Debo decir que al menos sus sugerencias son interesantes (sobre todo en el primer link) : arranque en modo seguro, borre tales archivos, trate de matar los procesos, borre las claves de registro, use process explorer, pase el ccleaner. Eso es tener suerte en la búsqueda, porque lo mas usual es “Instale nuestro antivirus y nuestro antimalware, haga varios escaneos completos del sistema”, proceso que por supuesto lleva varias veces mas tiempo que reinstalar todo lo que hay en la máquina, y es recomendable únicamente en el caso de tener que perder mucho tiempo pero que parezca que estamos haciendo algo: “estoy pasando el antivirus”.

En el ABC de cualquier técnico/soporte que no resuelva todo reinstalando o tirando una imagen están todos estos métodos, junto con otros que los complementan o los completan: Borrar temporales y archivos sospechosos desde un miniXP, deshabilitar entradas con autoruns, restaurar asociaciones con FixEXE o habilitar la visualizacion de ocultos con RRT.

Estas acciones son similares para todos los virus que nos encontramos, y configuran el mínimo a probar antes de tomar la decisión de reinstalar.
Ya todos sabemos que no tiene sentido mirar el manual.

PD: un apunte sobre mgking/arking: una vez que entran en el sistema, el antivirus ya no los detecta, pero si captura los autorun.inf, b9v.exe y demases que estos amigos colocan en TODAS las unidades, sean discos físicos o de red. Por eso empecé a extender el consejo acerca de la carpeta \autorun.inf a las unidades de disco comunes. Si les interesa, aca les dejo un script para limpiar/crear los autorun.inf despues de deshabilitar el virus:

cls
echo Borrando/creando autoruns.
for %%d in ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) do (
if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inf
if exist %%d:\autorun.inf del /A:S %%d:\autorun.*
mkdir %%d:\autorun.inf
)
echo Presione cualquier tecla para salir...
pause > nul


Disfruten!

lunes, 11 de abril de 2011

Qué le pasó al Hirens?

Hace un par de años (allá por febrero de 2009), el autor de este blog se separaba del amor de su vida, y escribía acerca del hirens 9.7 un apunte intrascendente acerca de cómo bootearlo desde el pendrive. Meses después mencionaba el hirens 10 de pasada en un post, sin dedicarle mas tiempo por ser mínimo el cambio de versión. Entre nosotros, también era mínimo el cambio en el autor; no porque no fuera necesario sino porque éste no sabía que lo fuera. Aunque acá estamos hablando del hirens, claro.

Ocupado en armarse una vida, mas interesado en sobrevivir que en postear, descargando sus obsesiones en otras redes, quien escribe alquiló un departamento, armó una rutina, se equivoco parejo y trató de seguir adelante sin chequear si había nuevas versiones del hirens, y tampoco si la vida que llevaba se prestaba para un upgrade.

En agosto del 2010 ese recorrido lo dejó donde había empezado, con diez kilos y varias manías de menos. Al tiempo de escribir la última entrada de este blog (llamada oportunamente “El regreso del Freak”) había vuelto a casa con mi esposa. Y si, soy yo quien escribe.

Mientras tanto, en algún punto del recorrido, el hirens que me acompañó desde el inicio del blog también había cambiado, abandonando los vicios de pirata, creciendo en tamaño y agregando utilidades.

Cual fue el motivo de su cambio? No lo se, como tampoco tengo claro cual fue el mio. Quizás haya sido simplemente el momento propicio.

Ahora, para los que como yo mantuvieron la versión 10, improviso un mínimo changelog:

  • Se eliminaron las aplicaciones comerciales: no tenemos, por ejemplo, el Acronis Disk Director y el Ghost. Se reemplazaron por sucedaneos gratuitos (no siempre con éxito)
  • Se agregaron un par de distribuciones de Linux (basicamente versiones de Recovey Is Posible, RIP).
  • Se modifico el mini XP para incluir drivers para placas wifi, entre otras mejoras.
  • Se agregaron MUCHAS utilidades para correr desde el miniXP, entre las que destacan el Partition Wizard Home Edition (que en este caso, hace de buen reemplazo del Acronis), la RRT (remove restrictions tool, para quitar restricciones del registro) y WinNTsetup, una utilidad de la gente de MSFN que automatiza la instalación de cualquier windows XP (inclusive los n-liteados) desde el propio miniXP que estamos arrancando (en el link tienen una versión que además instala vista/seven).


En resumen: tanto el autor de este blog (en adelante yo) como el Hirens Boot CD cambiamos. Habrá quienes se interesen mas por el primer término y quienes estén mas atraidos por el segundo. En todo caso, elijan el que quieran.
El nuevo hirens creció en tamaño, mientras yo recuperé con creces mis 10 kilos. Aquel perdió algo de funcionalidad en máquinas antiguas pero, a diferencia de mi, puede convivir en nuestros pendrives con su predecesor via el booteador de ISOs por aquí conocido.
Ambos perdimos velocidad y ganamos experiencia.

Espero que Hirens también sea más feliz.