Autor
Introducción
Generalmente, los usuarios que no tienen un conocimiento profundo sobre ordenadores, hablan de virus cuando algo le pasa a su ordenador. No todo lo malicioso son virus. Apartándonos de ellos tenemos gusanos (worms), troyanos, bombas lógicas, spyware… Son muchos más lo casos de infección por spyware por ejemplo que por virus. Pero teniendo en cuenta que esto es un manual sobre como eliminar malware, no explicaré los tipos distintos. Eso sí, te animo a leer sobre cada uno de ellos para conocer cada tipo y así poder entender que hacen. Podríamos pasar más rato con recomendaciones y xarlando pero vamos a entrar ya a hablar del contenido del manual.
En este manual voy a explicar que hacer cuando resultamos infectados con cualquier tipo de código malicioso para acabar con éste de forma inmediata. Está orientado a cualquier tipo de usuario puesto que no voy a ser nada técnico y pretenderé que todo sea claro y sencillo.
¿Cómo sé que estoy infectado?
Cada tipo de malware da unos síntomas distintos. Algunos como los troyanos por ejemplo normalmente apenas dan síntomas apreciables para un usuario normal. Algunos síntomas claros son la excesiva ralentización de la computadora, la aparición de publicidad en el ordenador o en el navegador, el cambio de la página de inicio del navegador con imposibilidad de cambio, cambios en la configuración, aparición de archivos o programas que nosotros no hemos metido, disminución continua del disco duro disponible sin haber instalado nosotros nada o haber hecho algo para ocupar espacio, etc.
Como podéis ver hay muchos síntomas, pero todo se puede resumir en uno: funcionamiento anormal del PC.
Estoy infectado. ¿Qué hago?
Formatear… xD, es broma; triste manera de acabar con los problemas. Aquí voy a citaros los programas necesarios para toda desinfección. Es necesario disponer de todos ellos antes de empezar y tener instalados y actualizados los que lo requieran. Además de estos programas, tenemos que tener Windows actualizado:
• Ad-aware SE Personal (o Professional, pero no es gratuito el Pro) [Descargar]
• Pack de lenguajes de Ad-aware (para ponerlo en castellano) [Descargar]
• Spybot Search&Destroy [Descargar]
• CWShredder [Descargar]
• Killbox [Descargar]
• HijackThis [Descargar]
• Process Explorer [Descargar]
• Disk Cleaner [Descargar]
• Buen antivirus [Mira aquí para decidir]
1. Pues bueno, vamos a ver. Lo primero que vamos a hacer es desactivar Restaurar Sistema.
¿Cómo se hace?
Restaurar Sistema es una utilidad de Windows que permite volver a como estaba todo antes de algún error, pero si tenemos malware en el PC este puede aprovechar esta utilidad. Para desactivarlo vamos a Inicio-Panel de Control. Si sale una ventana tremendamente fea que pone “Elija una categoría” vamos a la izquierda y cliqueamos sobre “Cambiar a Vista Clásica” (esto es una cuestión de estética y de orden). Si no sale la ventana fea es que ya lo tenéis así. Vamos donde pone “Sistema” y aparecerá una ventana. Vamos a la pestaña que pone “Restaurar Sistema” y marcamos donde pone “Desactivar Restaurar Sistema”. Le damos a “Aplicar” y luego a”Sí”. Ya podemos salir de aquí.
2. Miramos en Agregar o Quitar programas y desinstalamos cualquier cosa que sepamos que no hemos instalado.
3. Reiniciamos a Modo Seguro
¿Cómo se hace?
Reiniciamos y una vez se ha apagado el ordenador y vuelve a empezar a encenderse, pulsamos F8. Nos aparecerán varias opciones sobre la pantalla negra. Nos ponemos sobre Modo Seguro y damos al Intro.
4. Ejecutamos el Process Explorer y finalizamos los procesos malignos.
¿Cómo sé si un proceso es maligno?
Lo mejor es buscar el nombre del proceso en Internet, pero claro, no podemos en este momento!! Ahora os hecho un cable. Para los usuarios que entiendan sobre procesos no hace falta explicación, para el resto, decir que no siempre es fácil puesto que muchas veces los códigos maliciosos usan nombres de procesos de Windows, como por ejemplo svchost. La única manera de distinguirlos es por la ruta desde la que se ejecutan. Si no tenéis ni idea de algún proceso, es tan simple como apuntar el nombre y la ruta y buscar en Internet por él.
5. Ejecutamos Ad-aware y hacemos un análisis completo. Obviamente borramos todo lo que encontramos.
¿Para qué sirve?
Sirve para borrar una amplia gama de códigos maliciosos, especialmente spyware.
6. Ejecutamos Spybot Search&Destroy y analizamos. Borramos también todo lo que encontramos.
¿Para qué sirve?
Sirve para borrar una amplia gama de códigos maliciosos, especialmente spyware.
7. Ejecutamos CWShredder y borramos lo que encuentre.
¿Para qué sirve?
Sirve para borrar los CWS (Cool Web Search).
8. Ejecutamos Disk Cleaner, marcamos todas las casillas y damos a “Clean”.
¿Para qué sirve?
Sirve para borrar cookies, archivos temporales, cachés…
9. Reiniciamos para volver al modo normal.
10. Pasamos nuestro antivirus y borramos todo aquello que encuentre.
¿Por qué ahora un antivirus?
No es lo mismo un antivirus que los programas pasados anteriormente. Los antivirus tienen otra manera de trabajar (tampoco varía tanto) y diferentes objetivos, pese a que hoy día los antivirus detectan ya la mayoría de tipos de códigos maliciosos y no sólo los virus, gusanos y troyanos.
11. Hacemos un escáner con algún antivirus online. Aquí pongo una lista:
http://www.kaspersky.com/virusscanner/ Kaspersky
http://www.bitdefender-es.com/scan8/ie.html BitDefender
http://www.pandasoftware.com/activescan Panda
http://housecall.trendmicro.com/ Trend Micro
http://us.mcafee.com/root/mfs/default.asp McAfee
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx Etrust
http://www.freedom.net/viruscenter/onlineviruscheck.html Freedom
http://www.ewido.net/en/onlinescan/ Ewido
http://www.infospyware.com/Anti-Virus/Norton/ Norton
¿Por qué ahora uno online?
Hay códigos maliciosos que bloquean los antivirus locales, los reconfiguran para que los detecten, matan sus procesos… De todas formas, también algunos bloquean páginas de limpieza para evitar que los eliminen. En estos casos se usa Process Explorer y se termina el proceso maligno.
12. Hacemos un escáner con algún antispyware online. Aquí pongo una lista:
http://www.trendmicro.com/spyware-scan/ Trend Micro
http://www.sunbelt-software.com/dell/scan.cfm CounterSpy
http://www.spywareguide.com/txt_onlinescan.html X-Cleaner
¿Por qué también un antispyware online, lo mismo?
Sí.
13. Ejecutar HijackThis, revisar el sistema y borrar lo que encontremos.
Nota muy importante: HijackThis es una herramienta muy útil pero toca partes muy sensibles el sistema operativo. No se puede empezar a borrar porque sí. Pese a esto, voy a tratar de explicaros como funciona. Si alguna vez no tenéis claro algo, postead un log.
Uso de HijackThis: HijackThis tiene distintas funciones, pero explicaré las que uso, porque por ejemplo aunque puede mirar los procesos también, prefiero el Process Explorer para esto. Una vez abierto el programa, dando a “Config” y luego a “Misc Tools” tenemos una opción interesante: Open hosts file manager. De aquí debéis borrar toda línea que no sea “127.0.0.1 localhost”. Y aparte de esto sólo uso además la opción dentro del mismo sitio “Generate StartupList log” (su nombre ya indica lo que hace) y el escáner normal. Para entender bien como funciona el escáner y cualquier aspecto del programa, os recomiendo este manual del HijackThis:
http://www.bleepingcomputer.com/tutorials/tutorial81.html
Con todo lo que hemos hecho pueden pasar dos cosas:
• Estás desinfectado
(ocurre en la mayoría de los casos)• Sigues infectado
(cuando ocurre esto siguiendo todos los pasos anteriores, suele ser porque el código malicioso es reciente y los antivirus/spyware no están preparados para su eliminación. Entonces puedes esperarte (no lo recomiendo en ningún caso) o borrarlo manualmente.¿Cómo borrar manualmente?
Es cuestión de mirar si el código malicioso se ejecuta con el sistema en primer lugar (normalmente lo hacen). En Inicio-Ejecutar tecleamos “msconfig” y en la pestaña “Inicio” salen los programas que se inician con el sistema. Es cuestión de deshabilitarlo y eliminar en el registro la entrada suya (tecleando “regedit” en Inicio-Ejecutar). Para acabar, sólo queda borrar el archivo que se ejecuta. Si no deja que lo borren, usamos Killbox para despedirnos definitivamente del asqueroso código malicioso que fuera y ya tendremos nuestro ordenador como nuevo!!! No creo que sea necesario decir que para hacer todo esto hemos de matar el proceso del código malicioso si está abierto antes que nada.
Finalmente
Una vez hemos acabado volvemos a activar Restaurar Sistema.
Fuentes: El manual es mío, simplemente decir que las listas de antivirus y antispywares online las cogí del manual de el-brujo y añadí Norton y que lo de los hosts del HijackThis también lo he sacado de ahí. Pongo el link a dicho manual para quien lo quiera ver: Link
Todo lo demás está escrito por mí en su plenitud.
Un saludo de ghastlyX
En línea
