Friday, 7 January 2011

Pasos para eliminar virus



Antes de empezar



Hazlo bajo tu propia responsabilidad


Si buscas en la web te encontraras con varias paginas que te enseñan a eliminar virus, que a a la final no son 100% efectivos, se sabe que no existe ni existirá un antivirus 100% efectivo, el único antivirus efectivo es el humano, pero tiene una desventaja... el tiempo, puede consumir tiempo

Estos virus normalmente son descargados por el usuario, ya sea por correo electronico, descarga de una web, etc. y sin darse de cuenta este puede ejecutarse, en su mayoría no llaman la atención(obvio no???), es decir, que no muestran ninguna ventana ni mensaje, estos se ejecutan en segundo plano y pueden duplicarse, se auto ocultan y muchas veces no dejan que el usuario deje ver los archivos ocultos, ademas están pendientes de unidades de almacenamiento como por ejemplo pendrives USB para infectarlos y así multiplicarse en la red

También existen en la red herramientas específicas para cada virus, esto es así cuando ningún antivirus en este caso no pueda eliminarlo, en su mayoría no lo puede eliminar sí se está ejecutando, ya que éste cuando se manda a cerrar por ej. con el Administrador de Tareas, el virus se auto-ejecuta de nuevo y eso es bastante fastidioso

Al grano, esta es una manera que me ha sido efectiva, el detalle es que puede ser algo tediosa, hay que ser muy paciente porque no se sabe lo que puede pasar, mientras vas avanzando vas entendiendo como el comportamiento del virus



Ejemplo real del comportamiento de un virus




Este es un ejemplo del comportamiento de un virus, recientemente me tope con un virus que estaba en un GPS, subi el archivo ejecutable a VirusTotal y este es el resultado, click en la Pestaña: Informacion de Comportamiento

Como pueden ver, VirusTotal analiza el comportamiento del archivo ejecutable y nos muestra lo que hace el virus en Windows: se duplica, crea y lee archivos, crea procesos, hace llamadas a archivos DLLs y hasta incluso se conecta por internet, usando el protocolo TCP


Herramientas


  1. Hiren's Boot y quemalo en un CD
  2. Process Explorer 
  3. Autoruns 
  4. Unlocker
  5. HiJackThis
  6. CCleaner
  7. Desocultador de archivos, contiene un archivo .bat que he creado para desocultar archivos/carpetas usando el comando attrib de Windows

Los virus se auto-ocultan y ademas pueden restablecer la opcion Mostrar archivos ocultos, asi que si intentas ver los archivos ocultos veras que no los puedes ver porque inmendiatamente el virus establece la opcion No mostrar archivos ocultos


Opcion 1



Viendo esto muy tedioso pienso que le mejor manera es borrar ese virus y es con estas dos herramientas: Process Explorer + Unlocker

Activa la opcion de Mostrar archivos ocultos, en el explorador de Windows, ve al menu

Organizar -> Opciones de carpeta y busqueda -> Activa la opcion: Mostar archivos, carpetas y unidad ocultos -> Click en: Aplicar

Tambien desactiva la opcion que esta mas abajo:  Ocultar archivos protegidos del sistema operativo




1. Ejecuta Process Explorer




2. Colocar el puntero del mouse encima del proceso sospechoso, en este caso el mio es virus.exe (es un programa de ejemplo que he creado en C++ Builder)




Te muestra el directorio donde esta alojado el proceso sospechoso, muchos virus se alojan alli

3. Abre el directorio donde esta alojado ese proceso
4. Click derecho dobre el archivo y selecciona Unlocker
5. En la caja de opciones selecciona Eliminar, en algunos casos el archivo no sera eliminado inmediatamente y requerira reiniciar Windows, Unlocker se encarga de mandarlo a eliminar antes de iniciar Windows

Muchos casos los he solucionado de esta manera pero como he dicho anteriormente, los virus se auto-copian y se guardan en otros directorios


Opcion 2



Esta opcion es usando el Hiren's Boot, si ya sabes donde se aloja/n el/los virus usando el ProcessExplorer o tambien con el HiJackThis

  1. Inicia el PC con el CD de Hiren's
  2. Selecciona la opcion de Mini Windows XP
  3. Click en MiPC y abre la unidad de disco que este infectada
  4. Mini Windows XP ya tiene la opcion de ver los archivos ocultos asi que abre el directorio donde se encuentra el virus y borralo/s
  5. Listo, al iniciar el PC ya no deberia de ejecutarse el virus 

 

Opcion 3


  1. Ejecuta HiJackThis
  2. Click en: Do system scan and save a log file
  3. Al final de la ejecucion se abrira el archivo log que contendra informacion acerca de los programas y servicios que se inician en Windows
  4. Sigue los pasos de la Opcion 1 para eliminar los virus

 

Opcion 4



1. Inicio -> Ejecutar: msconfig
2. Pestaña: Inicio de Windows
3. Te mostrara una lista con los programas que inician con Windows




4. Como ven en la imagen, hay una entrada con un nombre raro, si hay otros nombres que no conoces, usa Google para saber que programa es
5. Desactiva la opcion (aunque el virus puede darse de cuenta y volver a activar la opcion)

6. Dirigete al directorio donde se encuentra el virus y eliminalo, si no se elimina, usa Unlocker
7. Tambien puedes ver la pestaña Servicios y ver si hay algun servicio sospechoso
8. Si el virus no se elimina, incluso con el Unlocker, elimina el archivo usando la Opcion 2


La ultima opcion



Es formatear y despues de eso, si haz hecho un respaldo de la informacion, escanea esos archivos con un antivirus, los antivirus de ahora tienen al menos 30 dias de prueba, entre los antivirus mas recomendados estan

  1. Kaspersky
  2. Avast
  3. Avira
  4. Bitdefender
  5. G-Data
  6. F-Secure


En AV Comparatives puedes conseguir informacion acerca de los antivirus actuales, esta ingles

Tambien existe VirusTotal que recientemente fue adquirida por Google, permite cargar archivos a esa web y analizarlo online, escanea dicho archivo con varios antivirus actualizados


Publicado en tttony.blogspot.com

No comments:

Post a Comment