La restauracion de sistema de Windows XP ha sido una gran herramienta simple de utilizar y muy efectiva; sobre todo si la comparamos con su simil de Windows ME
El inconveniente que presenta ese metodo es que si windows no inicia en ningun modo, o algun virus impide su ejecucion, es imposible de utilizar.
Microsoft publico una forma de restaurar el sistema en esos casos:
http://support.microsoft.com/kb/307545/es
Una adaptacion, utilizando Linux, que simplifica muchos de los pasos, es esta:
Arrancamos con algun live cd de linux, montamos la particion de windows (en caso de que no se haya montado automaticamente)
Si el live cd es Ubuntu montara automaticamente la particion ntfs. Si no es el caso, podemos montarla de la siguiente manera:
sudo mkdir /media/ (si da error es porque ya esta creado y no importa)
sudo mkdir /media/windows
sudo mount -t ntfs-3g /dev/sda1 /media/windows
Luego navegamos hasta:
C:\windows\system32\config (C:\windows es /media/windows )
y renombramos los archivos system, software, security, default y sam, todos como *.bak
Luego navegamos hasta:
c:\system volume information\_restore*
El * es porque el resto del nombre depende de la pc en cuestion. Por ejemplo ahora estoy viendo una en la que linux me muestra:
/media/disk/System Volume Information/_restore{10C201DE-72F6-4F8D-8058-4D19174F277E}
Una vez ahi localizamos alguna de las carpetas con el nombre RPx (en donde x suele ser un numero de dos cifras), por ejemplo:
/media/disk/System Volume Information/_restore{10C201DE-72F6-4F8D-8058-4D19174F277E}/RP44
Hay que elegir la carpeta RPx que mas convenga segun la fecha de creacion, ya que esa fecha es aquella en la que se guardo la configuracion.
Este punto es el equivalente a decirle al restaurador de windows a qué fecha queremos llegar.
Luego navegamos hasta la carpeta: snapshot, o sea
/media/disk/System Volume Information/_restore{10C201DE-72F6-4F8D-8058-4D19174F277E}/RP44/Snapshot
Ahi identificamos los archivos de registro como aquellos cuyo nombre es:
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
Copiamos esos archivos en la carpeta c:\windows\system32\config y los renombramos segun este cuadro: (resulta obvio pero lo escribo igual)
_REGISTRY_MACHINE_SAM ------------------>sam
_REGISTRY_MACHINE_SECURITY-------------->security
_REGISTRY_MACHINE_SOFTWARE-------------->software
_REGISTRY_MACHINE_SYSTEM---------------->system
_REGISTRY_USER_.DEFAULT----------------->default
Listo.
Este metodo solo restaura el registro. Normalmente sirve asi, pero si hubiera algun archivo de sistema infectado, al arrancar, podria volver a infectarse. Aunque a mi eso nunca me paso.
Si luego de la restauracion, windows no arranca, el siguiente paso es hacer una reparacion de windows con el cd de instalacion. Tampoco nunca llegué a esa instancia. Siempre me anduvo en el primer intento.
Me han llegado maquinas en las que el virus habia desactivado absolutamente todo, regedit, ejecutar comandos, restaurar sistema, ver archivos ocultos, administrador de tareas, etc, en fin, practicamente no se podia hacer nada. A veces resulta comico el empeño de algunos malwares en impedir tareas administrativas. En fin, no importa el empeño que pongan, si hay copias de resguardo del registro, chau virus.
1 comentario:
No quisiera dejar pasar la ocasión para dejar constancia de lo útil que me ha resultado este artículo para recuperar el control de mi sistema solo unas horas después de resultar infectado con uno de los denominados "Virus del Cuerpo Nacional de Policía". Además no he tenido que utilizar ni instalar ningún malware ni antivirus que, en muchos casos, afectan a otros programas instalados.
Publicar un comentario