[TECNOLOGIA] Your computer may be infected

Your computer may be infected

En los días que han transcurrido, he podido ver un aumento del número de máquinas infectadas con Antivirus 2008 o VirusProtect. O mejor dicho: aplicaciones maliciosas que se hacen pasar como antivirus.

Antes y después de ser instaladas te informan que tu "computadora puede estar infectada" (Your computer may be infected).

Síntomas:

  • Al iniciar Windows y darle al botón inicio no puedes ver la lista completa.
  • Se ejecuta el antivirus (falso-antivirus) automáticamente y te alerta que tienes X archivos infectados o X tipos de virus diferentes.
  • No puedes cerrar el antivirus.
  • Se ejecuta uno o varios falsos antivirus sin tu consentimiento. Sin posibilidad de cambiar la configuración para evitar el arranque de inicio.
  • Tu PC se vuelve lenta.
  • Cambia la página de inicio de tu navegador (principalmente Internet Explorer).
  • No puedes navegar correctamente.
  • No puedes ejecutar tu antivirus (Eset NOD32, Kaspersky, etc.)
  • No puedes ejecutar el Administrador de programas (Ctrl+Alt+ Supr) (Muestra el mensaje "El administrador de tareas fue deshabilitado por el administrador)
  • No puedes cerrar el programa utilizando accesos de teclado como ALT+F4
  • Aparece un ícono relacionado al Antivirus 2008 (o similar) en el Panel de Control.

Entre otros.

Investigando, he podido llegar a varios tutoriales en la red. Algunos recomiendan descargar algunos programas y otros, lamentablemente exigen a los usuarios que se registren para tener acceso a las aplicaciones. Por tal motivo, he decidido explicar nuevamente paso a paso cómo resolver el asunto y brindar los programas directamente (incluyendo las explicaciones de instalación e uso).

Los vínculos a los programas están al final de este tutorial.

Si tu equipo tiene alguno (varios o todos) los síntomas anteriormente descritos sigue los siguientes pasos. Debes tener la capacidad de instalar programas (si tu PC está infectada, es probable que ya tengas permisos administrativos suficientes). Debes además, imprimir los pasos y descargar todos los programas.

Paso 1. Imprimir los pasos.


Paso 2. Descargar los siguientes programas. (Colocarlos en C:\)

DelPSGuard es una aplicación creada por http://infospyware.com y http://forospyware.com para eliminar el molesto PSGUard.exe en sus distintas variantes. Parte de este tutorial es una recopilación de la información mostrada en esos sitios.

mbam-setup: se trata del Malwarebytes Antimalware software. Una aplicación que elimina Malwares. Puede ser también descargada desde el sitio oficial http://malwarebytes.com

Ccsetup208.exe: CCleaner. Una utilidad para limpieza de registro.


Paso 3. Desactivar el SystemRestore de Windows (Restaurar el sistema)
Paso 4. Reiniciar tu equipo en Modo a prueba de fallos.

Esto con la finalidad de evitar que las aplicaciones maliciosas se carguen.

El modo a prueba de fallos permite resolver problemas de Windows cargando una versión de Windows que tiene lo mínimo necesario para ejecutarse correctamente.


Paso 5. Instalar y ejecutar el DelPSGuard.exe.

Está almacenado en el fichero c:\DelPSGuard.zip. Al ser extraído podrás ver su ícono característico. Doble click o enter y sigue los pasos (acepta el acuerdo) . Al finalizar, deja marcada la casilla "Ejecutar DelPSGuard".

Luego de hacer click en Finalizar, aparecerá la siguiente ventana:

Ventana de Bienvenida al DelPSGuard.

Aparece un menú con varias opciones.

Oprimir la tecla 1. Y luego Enter.

Ventana de advertencia

Esta ventana nos informa de la funcionalidad del programa. Sólo debemos presionar cualquier tecla para continuar.

Corrida del programa.

Nada que ver. Sólo esperar a que termine.

Este proceso puede tomar varios minutos. Puede ocasionar ralentización de la PC y un comportamiento algo extraño, como que se oculte la barra de tareas de Windows. Para aquellos que dependen del ratón, la combinación ALT+TAB les permite cambiar de ventanas mientras se ejecuta el DelPSGuard.

Fin de la aplicación

Nada que ver. Sólo darle a cualquier tecla.

(Para aquellos que se fijan en todo, el programa a terminado de hacer lo que iba a hacer. Es medio HoyGan él ; ) )

Volverá a la pantalla inicial. Para salir, presionar E y luego Enter.

Aparecerá también un archivo de registro en Notepad. Pueden guardarlo o enviarlo si desean que sea investigado.


Paso 6. Instalar y Ejecutar el MalwareBytes Anti-Malware.

La instalación es similar al programa anterior. Permitan que el programa se actualice y se ejecute dejando las casillas marcadas al final de la instalación.

El programa es sencillo. Muestra dos opciones básicas: Escaneo rápido y completo. Particularmente, siempre recomiendo el completo. Requiere un poco más de tiempo, pero se supone que es el más preciso. Seleccionar la opcion que queramos y click en Examinar.

Al finalizar el análisis, les mostrará la opción para mostrar los resultados. En la PC en que probé el programa para hacer este tutorial, no se encontraron archivos infectados. En todo caso, cuando encuentre algo, en el reporte, hacer click en el botón QUITAR SELECCIONADO que se encuentra en la esquina inferior izquierda. Reiniciar el equipo cuando el programa así lo requiera.


Paso 7. Instalar y ejecutar el CCleaner.

La instalación es similar a la anterior y su uso es bien sencillo. Única sugerencia durante la instalación: Estar pendientes en las Opciones de Instalación y desmarcar la opción Añadir la barra de herramientas CCleaner Yahoo!. Es preferible descargar la de Google en caso que no tengan alguna.

Nota sobre el CCleaner. Al utilizar el limpiador de registro, si detecta errores y los elimina, volver a pasarlo ya que en el registro, algunos valores dependen de otros. Si uno es eliminado, es probable que se rompa el vínculo con otro valor y también deba ser borrado.


Paso 8. Reiniciar el equipo.

Paso 9. Utilizar la herramienta Online Antivirus de su preferencia.

Recomiendo: http://www.kaspersky.com/virusscanner en Internet Explorer (funciona mejor)


Opcional.

Los usuarios avanzados pueden hacer uso del comando msconfig (Menú Inicio > Ejecutar) para eliminar los programas y servicios que se inician con el sistema operativo. Sin embargo, pude notar que no siempre funcionó para los falsos antivirus que he tenido la oportunidad de revisar.

Lamentablemente, no existe una lista fácil de nombrar de aplicaciones maliciosas, sin embargo, en VSAntivirus pueden encontrarse listas spyware falso. Y siempre puede tenerse una lista de los procesos comunes de Windows.

¿Por qué no lo recomiendo para usuarios no avanzados?

Aunque esta utilidad puede ser ejecutada por cualquiera, algunos cambios requieren conocimiento de los programas instalados, ya que algunos programas pueden tener nombres aparentemente extraños o poco usuales, es necesario saber entender la aplicación antes de desactivar un servicio o programa de inicio.

Una pequeña muestra de lo que puede realizarse con el comando msconfig.

Primero: entrar a la pestaña SERVICIOS y marcar la opción "Ocultar los servicios de Microsoft".

Según mi experiencia, es raro encontrar un servicio maligno usando a Microsoft como fabricante. Así que todo aque que esté como desconocido ha sido agregado por terceros (Excepto un par, uno relacionado con el manejo de carpetas de Messenger y el servicio de uso compartido de red de Windows Media).

En la imagen mostrada, los servicios PnkBstrA y PnkBstrB, pueden considerarse malignos (extraños al sistema) y pueden ser desmarcados. Al darle click en Aceptar, aparece la ventana que nos pregunta si deseamos aplicar los cambios sin reiniciar.

Segundo: entrar a la pestaña INICIO y observar la ruta (Comando) de cada programa. Algunos programas pueden ser deshabilitados del inicio. Aquellos que estén en la carpeta c:\Document and Settings\%Nombredeusuario%\… pueden ser desmarcados (generalmente, son ejecutables de programas maliciosos ubicados en algún subdirectorio).


Todos estos consejos deberían ser útiles para la mayoría de los virus y malwares provenientes de fuentes varias (Internet, emails y más recientemente pendrives). Agradezco cualquier información que contribuya al mejoramiento de este tutorial, así como los nombres de los virus o malware que han podido solventar usando estos métodos.


--
Publicado por VRedondoF para TECNOLOGIA el 6/30/2008 06:42:00 PM