El visor de eventos

El visor de eventos es una herramienta muy útil en sistemas Windows, de Microsoft. Se trata nada más ni nada menos que de un complemento del MMC (Microsoft Management Console), un conjunto de herramientas creadas por Microsoft para gestionar tanto el hardware, como el software o características de red de nuestros sistemas; el visor de eventos se trata de un complemento de dicha herramienta.

Podemos lanzar el visor de eventos desde la consola, o buscarlo manualmente con las teclas Windows+C. Podemos usar también el famoso atajo de Windows+R y escribir eventvwr (abreviación de event viewer, o visor de eventos). Este último es el comando por excelencia para invocar dicha herramienta, que podemos utilizarla también desde la consola MSDOS:

Cuando se nos abra el visor de eventos accederemos a una ventana como la siguiente:

En la parte izquierda, aparte de las típicas pestañitas que salen siempre en esta clase de aplicaciones, podemos ver como carpetas (vistas personalizadas, registros de Windows, registros de aplicaciones y servicios y suscripciones). Ignorando lo que puedan hacer cada una de ellas, vamos a la parte derecha de la imagen, donde tenemos los distintos tipos de eventos de nuestro sistema, además de otra información que de momento no hace falta entender.

La utilidad que tiene el visor de eventos, es que al tener todo lo que sucede en nuestro sistema registrado podemos hacer filtros y analizar mejor lo que ha ocurrido. Por ejemplo, pondré uno de los casos con los que me he encontrado: el servicio MySQL no puede iniciarse y me salta en pantalla una ventana de error. Bueno, ¿qué opciones tenemos para saber qué ha pasado exactamente? Pues para eso tenemos el visor de eventos, donde podemos ver claramente por qué el MySQL ha fallado y no arranca.

Muy bien, hasta ahí la idea básica, pero para filtrar los posibles eventos y errores que tenemos en el sistema lo ideal es crear "carpetas", o vistas personalizadas, donde tengamos registrado cada uno de estos eventos. Crear vistas personalizadas es muy sencillo, simplemente haciendo click derecho en el iconito del visor de eventos, situado sobre las carpetas, y en crear vista personalizada. Al hacerlo nos saldrá la siguiente ventana:

Lo primero que llama la atención son las dos pestañas que salen ahí: Filtro y XML. De momento solo vamos a centrarnos en la primera, y ya explicaré qué se puede hacer luego con el XML. Así pues, la primera opción que nos sale sirve para elegir el momento exacto en el que sucedieron los eventos, y tal cual está tomará todos los eventos desde que se instaló el sistema operativo. En el nivel de evento podemos elegir entre Crítico, Advertencias, Detallado, Errores e Información, en este caso de prueba vamos a elegir Errores. La siguiente opción nos pide los tipos de registros de los que queremos sacar los errores, y tenemos entre registros de Windows y registros de aplicaciones y servicios: desde el segundo podemos auditar los errores de herramientas y aplicaciones propias del sistema, como PowerShell, AppLocker o Internet Explorer; mientras que en el primero tenemos acceso a la información de forma más generalizada, pues podemos seleccionar entre aplicaciones (todas las del sistema, hayan venido o no con éste), instalación, seguridad, etc. Para esta pequeña entrada, vamos a elegir Aplicación.

En cuanto hayamos elegido los eventos que queremos filtrar se nos dará la posibilidad de elegir unos IDs, ¿y qué significan estos números? Pues los nombres, por así decirlo, de estos eventos. Cada evento tiene un ID concreto, y si nos interesa uno particular podemos indicarlo aquí para crear una vista solamente para esa aplicación. Pero en este caso lo dejaremos vacío, haciendo referencia a todos los eventos de aplicaciones que causen algún error. Y si vamos más lejos, podemos incluso seleccionar usuarios o equipos permitidos para ver dicha vista (hay que recordar que el administrador o root tiene derecho a todo). Así pues, dejando los últimos espacios en blanco, creamos la vista. Podremos incluso ponerle un nombr, que en mi caso será Vista del Blog. Nos daremos cuenta de que se ha creado porque aparecerá en la lista de vistas personalizadas:

Ahora, al seleccionar esta vista, tendremos en el lado izquierdo un listado de todos los errores que se hayan provocado a causa de alguna aplicación:

Y nos indica también, que es lo más importante, por qué ha fallado. En el ejemplo, el servicio de MySQL no puede iniciarse porque el puerto que utiliza la aplicación (el 3306) ya está siendo utilizado por otra, y por lo tanto al intentar iniciar, dice que no puede y da error. Para remediarlo, bueno, es otra historia totalmente distinta y ajena al visor de eventos (lo ideal sería cerrar la aplicación que está utilizando ese puerto, para poder arrancar el MySQL).

Claro, hasta aquí está todo muy bien, podemos crear vistas personalizadas de aplicaciones, instalaciones, o cualquier cosa del sistema para analizar cómo se comporta. Como podéis ver en mi penúltima imagen, yo tengo vistas mías, personales, para tener a mano todos los errores que hay en el sistema. Cada vez que me suceda algo, solo me basta con ir ahí y echar un ojo. Pero aparte de errores, hay más cosas, como Información, así como vistas propias del visor de eventos. Para ver estas vistas, accedemos aquí:

En registro de Windows tenemos acceso a las listas que por defecto crea el sistema, en la que está seleccionada (aplicación) podemos ver, por ejemplo, lo siguiente:

Información acerca de las aplicaciones. Habrá registros que nos puedan interesar y registros que no, todo depende. Y como último detalle, si hacemos doble click en las vistas personalizadas podemos exportarlas y crear ficheros con extensión XML de ellas, ya sea para llevárnosla a otros equipos, a un pendrive, o lo que sea.

El visor de eventos tiene más utilidades que podemos combinar con por ejemplo el monitor de rendimiento, de forma que cuando la CPU se recaliente ya sea por alguna aplicación que le está dando caña, nos lo notifique también y lo deje registrado. Pero es una herramienta bastante útil cuando hay problemas en el equipo, espero que le deis un buen uso. Un saludito.

Quitando websites basura del navegador

Son muchas las veces, sobre todo para los usuarios de sistemas de Microsoft (aka Windows), donde algún virus se nos cuela y nos hace la vida imposible modificando la página web que nos sale por defecto en el navegador. Para remediar esto, lo que hace la mayoría de la gente que no tiene mucha idea es: o bien reinstalar el navegador o utilizar otro.

No obstante voy a explicar una nueva forma (de nueva no tiene mucho, pero para los usuarios de a pie muy posiblemente sí), que considero personalmente sencilla si se siguen los pasos que voy a dar. En este caso tocamos directamente el registro y modificamos la página web que sale por defecto. El registro del sistema es como una base de datos gigante donde se almacena absolutamente todo (tanto acerca del usuario, como de las aplicaciones, como del fondo de pantalla del Escritorio), es por así decirlo el núcleo del sistema operativo, pues la mayoría de los virus lo que se dedican es a contaminar el registro con basura, provocando estragos en el equipo. Y esto es lo que vamos a intentar solventar para el caso de los navegadores.

Esta técnica funciona para sistemas operativos que cuenten con PowerShell, es decir, de Windows 7 en adelante (tengo entendido también que XP lo soporta, pero no tengo ningún XP a mano para comprobarlo y en caso de no traerlo, habría que instalarlo), y nos ayudará a eliminar estos virus en caso de que, aun reiniciando, desinstalando o modificando las configuraciones del navegador, la web que sale por defecto siga ahí. Al nosotros editar el registro manualmente, forzamos a que se cambie esa web basura que solo busca visitas y lo único que ofrece es spam, aunque también nos puede ayudar a comprender mejor la estructura que tiene un navegador para ir o no a una página web (estructura que luego podemos modificar con un script, o gráficamente con las opciones que trae).

Así pues, abrimos el editor ISE de PowerShell de nuestro sistema operativo, para ello presionamos la tecla Windows+C y buscamos, como es evidente, PowerShell ISE (y alguna aplicación que se llame así debería salir por ahí). Es imprescindible hacer click derecho sobre ella para ejecutarla con permisos de administración (y en caso de no poder usar estos permisos, póngase en contacto con el propietario del equipo en cuestión o el administrador de sistemas correspondiente (?)). Antes de continuar con esto, recomendaría a los lectores que no tengan mucha idea que se pasasen por esta entrada de mi blog, donde explico los conceptos de árboles y cómo movernos por consola internamente en nuestro sistema.

Ahora bien, una vez tengamos abierto el editor con permisos elevados tendremos que movernos a lo que se denominan como Drives, que bien son hklm(HKEY_LOCAL_MACHINE) y hkcu(HKEY_CURRENT_USER). El primero nos dará todas las propiedades del equipo, y muy posiblemente aun con estos permisos no podamos acceder a todo su contenido. Respecto al segundo, que es el que vamos a tratar, contiene toda la configuración de nuestro usuario actual, es decir, de nuestro usuario y de todas las aplicaciones y configuraciones que tengamos junto a él (porque al crear un nuevo usuario, no tenemos el mismo fondo de Escritorio, ¿verdad? Pues esto se aplica al resto de aplicaciones, valga la redundancia).

Para movernos al Drive de nuestro usuario actual, lanzamos lo siguiente desde el editor (podemos presionar Ctrl+R para que la pantallita azul se expanda, que es lo ideal para que sea más cómodo):

Nos movemos al registro de nuestro usuario actual haciendo algo tan fácil como eso. Ya no nos encontramos en el disco C, sino en el registro del sistema. Pero claro, ¿dónde podemos encontrar las configuraciones de los navegadores? Pues cada uno de ellos tiene su ruta, y podemos ver qué opciones tenemos con el siguiente comando, para decidir a dónde movernos dentro del árbol del registro:

Ignorando lo que el comando pueda significar (no pretendo que esto sea una clase de PowerShell ni mucho menos), podemos ver que tenemos cosas como las impresoras, el panel de control, y Software; estas cosas se denominan claves del registro, y cada una tiene propiedades y más claves internas que son las que almacenan la configuración. La idea en nuestro caso es ir a la última mencionada, a software.

Y entre toda esa maraña de claves tenemos la más importante y a la que accederemos (la última), que será Microsoft. Dentro ya de Microsoft, seguimos la siguiente ruta para alcanzar la configuración del navegador:

Si volvemos a lanzar un Get-ChildItem para ver las claves del navegador IE nos daremos cuenta de que hay una llamada Main, esta es la que contiene la página web por defecto (pero no la contiene como una clave, sino como una propiedad). Podemos ver las propiedades del IE de la siguiente forma:

No es muy difícil identificar ahora qué propiedades han sido infectadas por el virus o no. En mi caso, las propiedades son las que tienen el valor más largo (los enlaces gigantes esos). Para remediarlo, simplemente las editamos y ponemos la página web que más nos guste:

Si ahora abrimos el Internet Explorer tal cual, nos podrá seguir saliendo la página de spam aunque podamos ver en la configuración que se nos ha asignado la de google, ¿y por qué pasa esto? Porque el registro no se ha actualizado. Debemos reiniciar el equipo para poder ver los cambios.

Tenemos también otra opción para editar el registro gráficamente, para ello presionamos Windows+R y escribimos regedit. De esta forma estaremos abriendo el registro de forma gráfica. Si una vez dentro queremos buscar dónde se encuentra la clave del registro que ha sido infectada por el virus, simplemente vamos a la pestaña Edición y en Buscar insertamos el nombre de la página web (por ejemplo www.webBasura.com). El registro encontrará alguna clave que tenga alguna propiedad con este valor, y efectivamente nos indicará la ruta completa. Gracias a esto bien podemos editarlo de forma gráfica o por comandos, con el editor ISE. Yo lo haré con comandos, que me resulta más amigable después de todo, no me vaya a equivocar pinchando donde no debo:

Esa sería la ruta de forma gráfica, ¿y por línea de comandos? Pues así:

Localizada la propiedad a eliminar, modificamos su valor por el que debería tener por defecto:

De esta forma ya tenemos, por ejemplo la clave del registro del Chrome editada a nuestra manera. La idea de esto es buscar constantemente por la web basura e ir modificando todas las claves del registro que la tengan, tanto de HKEY_LOCAL_MACHINE como de HKEY_CURRENT_USER.

Pero todo esto ha funcionado en principio para Internet Explorer, un navegador que casi nadie usa hoy en día, o el Chrome. ¿Qué pasa con otros navegadores como Mozilla Firefox? Pues bien podemos buscar sus rutas (cosa más complicada, pues están en otra ubicación totalmente distinta y es cuestión de buscar por el registro, y el Google Chrome carece de bastantes herramientas que no tiene el Mozilla o el IE para solventar estas cosas), o acceder a la configuración del propio navegador:

Todo esto parte de la opción de Configuración comentada al principio. Podemos ir a Extensiones y borrar aquellas que consideremos que son basura o se nos han colado, también podemos entrar a Establecer un conjunto de páginas para indicar qué páginas queremos que se nos abran cuando iniciemos el navegador. Es importante tener en cuenta, si recordamos las claves del registro que tenía el Internet Explorer, que el navegador fue infectado en distintas propiedades (como Search Page, Start Page, etc). Todo esto lo debemos modificar, por lo que cambiando las páginas de inicio no servirá de nada (cosa que me he encontrado por ahí). Tenemos que editar también los motores de búsqueda:

El Mozilla Firefox debería tener unas opciones similares al Chrome, por lo que no lo voy a tocar. Pero sí me gustaría aclarar antes de terminar que, si el problema de la web basura persiste, quizás es que se nos ha instalado algún malware en el equipo, y para ver si tenemos algo instalado que se denomine como la página de spam debemos entrar en el Panel de Control:

En la opción de Desinstalar un programa tendremos una lista de todos los programas del equipo, y si hay alguno que se llame "WebBasura" cuando la página de spam es "WebBasura.com", pues es suficiente con eliminar el programa del ordenador (me he visto casos así también x_D).

Otras medidas que podrían funcionar es, por ejemplo, yendo a las propiedades del navegador y buscar si la web de spam todavía persiste dentro:

O sencillamente intentando bloquear el tráfico a dicha página utilizando el fichero de texto hosts, ubicado en Windows en: C:\Windows\System32\Drivers\etc\hosts; este archivo lo deberemos editar con el bloc de notas teniendo permisos de administración, y sería suficiente con localizar la siguiente sección para añadir la última línea (donde sale www.WebBasura.com):

La dirección IPv4 127.0.0.1 se refiere a nuestro equipo, es decir, que cuando escribamos en el navegador la página www.WebBasura.com la intentará buscar en nuestro ordenador en lugar de salir a Internet, y de esta forma no se tendría acceso a la misma. Recordar que no hay que tocar nada más de este archivo (ni cabe mencionar que está prohibido eliminarlo), pues es un fichero importante del sistema y podría dar a futuros problemas si no se encuentra. En sistemas Linux (Ubuntu), suele estar ubicado en: /etc/hosts.

Para Google Chrome, además, me he dado cuenta a última hora de que se puede hacer también un pequeño copypaste en sus archivos de configuración principal, siguiendo esta ruta en nuestro Explorador de Windows (en nuestras carpetas, vamos):

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default

En esa ubicación tenemos dos ficheros: Preferences y Web Data. La idea aquí es cambiarle el nombre por Preferences.old y Web Data.old.

Puede haber muchos métodos más, por supuesto, pero espero que esto al menos ayude a alguien a salir de algún apuro. Un saludito.