Antes de empezar
Hazlo bajo tu propia responsabilidad
Si buscas en la
web te encontraras con varias paginas que te enseñan a eliminar virus, que a a la final no son 100% efectivos, se sabe que no existe ni existirá un antivirus 100% efectivo, el único antivirus efectivo es el humano, pero tiene una desventaja... el tiempo, puede consumir tiempo
Estos virus normalmente son descargados por el usuario, ya sea por correo electronico, descarga de una web, etc. y sin darse de cuenta este puede ejecutarse, en su mayoría no llaman la atención(obvio no???), es decir, que no muestran ninguna ventana ni mensaje, estos se ejecutan en segundo plano y pueden duplicarse, se auto ocultan y muchas veces no dejan que el usuario deje ver los archivos ocultos, ademas están pendientes de unidades de almacenamiento como por ejemplo pendrives USB para infectarlos y así multiplicarse en la red
También existen en la red herramientas específicas para cada virus, esto es así cuando ningún antivirus en este caso no pueda eliminarlo, en su mayoría no lo puede eliminar sí se está ejecutando, ya que éste cuando se manda a cerrar por ej. con el Administrador de Tareas, el virus se auto-ejecuta de nuevo y eso es bastante fastidioso
Al grano, esta es una manera que me ha sido efectiva, el detalle es que puede ser algo tediosa, hay que ser muy paciente porque no se sabe lo que puede pasar, mientras vas avanzando vas entendiendo como el comportamiento del virus
Ejemplo real del comportamiento de un virus
Este es un ejemplo del comportamiento de un virus, recientemente me tope con un virus que estaba en un GPS, subi el archivo ejecutable a VirusTotal y
este es el resultado, click en la Pestaña:
Informacion de ComportamientoComo pueden ver, VirusTotal analiza el comportamiento del archivo ejecutable y nos muestra lo que hace el virus en Windows: se duplica, crea y lee archivos, crea procesos, hace llamadas a archivos DLLs y hasta incluso se conecta por internet, usando el protocolo TCP
Herramientas
- Hiren's Boot y quemalo en un CD
- Process Explorer
- Autoruns
- Unlocker
- HiJackThis
- CCleaner
- Desocultador de archivos, contiene un archivo .bat que he creado para desocultar archivos/carpetas usando el comando attrib de Windows
Los virus se auto-ocultan y ademas pueden restablecer la opcion
Mostrar archivos ocultos, asi que si intentas ver los archivos ocultos veras que no los puedes ver porque inmendiatamente el virus establece la opcion
No mostrar archivos ocultosOpcion 1
Viendo esto muy tedioso pienso que le mejor manera es borrar ese virus y es con estas dos herramientas:
Process Explorer +
UnlockerActiva la opcion de
Mostrar archivos ocultos, en el explorador de Windows, ve al menu
Organizar -> Opciones de carpeta y busqueda -> Activa la opcion:
Mostar archivos, carpetas y unidad ocultos -> Click en:
AplicarTambien desactiva la opcion que esta mas abajo:
Ocultar archivos protegidos del sistema operativo1. Ejecuta
Process Explorer2. Colocar el puntero del mouse encima del proceso sospechoso, en este caso el mio es
virus.exe (es un programa de ejemplo que he creado en C++ Builder
)Te muestra el directorio donde esta alojado el proceso sospechoso, muchos virus se alojan alli
3. Abre el directorio donde esta alojado ese proceso
4. Click derecho dobre el archivo y selecciona Unlocker
5. En la caja de opciones selecciona
Eliminar, en algunos casos el archivo no sera eliminado inmediatamente y requerira reiniciar Windows, Unlocker se encarga de mandarlo a eliminar antes de iniciar Windows
Muchos casos los he solucionado de esta manera pero como he dicho anteriormente, los virus se auto-copian y se guardan en otros directorios
Opcion 2
Esta opcion es usando el Hiren's Boot, si ya sabes donde se aloja/n el/los virus usando el ProcessExplorer o tambien con el HiJackThis
- Inicia el PC con el CD de Hiren's
- Selecciona la opcion de Mini Windows XP
- Click en MiPC y abre la unidad de disco que este infectada
- Mini Windows XP ya tiene la opcion de ver los archivos ocultos asi que abre el directorio donde se encuentra el virus y borralo/s
- Listo, al iniciar el PC ya no deberia de ejecutarse el virus
Opcion 3
- Ejecuta HiJackThis
- Click en: Do system scan and save a log file
- Al final de la ejecucion se abrira el archivo log que contendra informacion acerca de los programas y servicios que se inician en Windows
- Sigue los pasos de la Opcion 1 para eliminar los virus
Opcion 4
1. Inicio -> Ejecutar:
msconfig2. Pestaña:
Inicio de Windows3. Te mostrara una lista con los programas que inician con Windows
4. Como ven en la imagen, hay una entrada con un nombre raro, si hay otros nombres que no conoces, usa Google para saber que programa es
5. Desactiva la opcion (aunque el virus puede darse de cuenta y volver a activar la opcion)
6. Dirigete al directorio donde se encuentra el virus y eliminalo, si no se elimina, usa
Unlocker7. Tambien puedes ver la pestaña
Servicios y ver si hay algun servicio sospechoso
8. Si el virus no se elimina, incluso con el Unlocker, elimina el archivo usando la
Opcion 2La ultima opcion
Es formatear y despues de eso, si haz hecho un respaldo de la informacion, escanea esos archivos con un antivirus, los antivirus de ahora tienen al menos 30 dias de prueba, entre los antivirus mas recomendados estan
- Kaspersky
- Avast
- Avira
- Bitdefender
- G-Data
- F-Secure
En
AV Comparatives puedes conseguir informacion acerca de los antivirus actuales, esta ingles
Tambien existe
VirusTotal que recientemente fue adquirida por Google, permite cargar archivos a esa web y analizarlo online, escanea dicho archivo con varios antivirus actualizados
Publicado en
tttony.blogspot.com