20Aug
Existen muchos programas anti-malware que limpiarán su sistema de malicia, pero ¿qué sucede si no puede utilizar dicho programa? Autoruns, de SysInternals( recientemente adquirido por Microsoft), es indispensable para eliminar malware de forma manual.
Hay algunas razones por las que es posible que deba eliminar virus y programas espía manualmente:
- Quizás no pueda seguir ejecutando programas anti-malware invasivos y que consumen recursos en su PC
- Es posible que necesite limpiar la computadora de su madre( u otra persona)que no comprende que un gran letrero parpadeante en un sitio web que dice "Su computadora está infectada con un virus - haga clic AQUÍ para eliminarlo" no es un mensaje en el que necesariamente se pueda confiar)
- El malware es tan agresivo que resiste todointenta eliminarlo automáticamente, o incluso no le permitirá instalar el software anti-malware
- Parte de su credo geek es la creencia de que las utilidades anti-spyware son para los débiles
Autoruns es una valiosa adición al conjunto de herramientas de software de cualquier geek. Le permite rastrear y controlar todos los programas( y componentes del programa) que se inician automáticamente con Windows( o con Internet Explorer).Prácticamente todo el malware está diseñado para iniciarse automáticamente, por lo que existe una gran posibilidad de que pueda ser detectado y eliminado con la ayuda de Autoruns.
Hemos cubierto cómo usar Autoruns en un artículo anterior, que debería leer si primero necesita familiarizarse con el programa.
Autoruns es una utilidad independiente que no necesita instalarse en su computadora. Puede simplemente descargarse, descomprimirse y ejecutarse( enlace a continuación).Esto hace que sea ideal para agregar a su colección de servicios portátiles en su unidad flash.
Cuando inicia Autoruns por primera vez en una computadora, se le presenta el acuerdo de licencia:
Después de aceptar los términos, se abre la ventana principal Autoruns, que le muestra la lista completa de todo el software que se ejecutará cuando se inicie su computadora,cuando inicia sesión, o cuando abre Internet Explorer:
Para desactivar temporalmente el inicio de un programa, desmarque la casilla junto a su entrada. Nota: Esto hace que no termine el programa si se está ejecutando en ese momento; simplemente impide que inicie en la siguiente hora de .Para evitar permanentemente la ejecución de un programa, elimine la entrada por completo( utilice la tecla Delete , o haga clic con el botón derecho y elija Delete del menú de contexto)).Nota: Esto hace que no elimine el programa de su computadora; para eliminarlo por completo, necesita desinstalar el programa( o eliminarlo de su disco duro).
Software Sospechoso
Puede tomar un poco de experiencia( lea "prueba y error") para convertirse en experto en identificar qué es malware y qué no. La mayoría de las entradas presentadas en Autoruns son programas legítimos, incluso si sus nombres no le son familiares. Aquí hay algunos consejos para ayudarlo a diferenciar el malware del software legítimo:
- Si una entrada está firmada digitalmente por un editor de software( es decir, hay una entrada en la columna Publisher ) o tiene una "Descripción", entonces hay una buena posibilidadque es
- legítimo Si reconoce el nombre del software, generalmente está bien. Tenga en cuenta que ocasionalmente el malware "suplantará" el software legítimo, pero adoptando un nombre idéntico o similar al software con el que está familiarizado( por ejemplo, "AcrobatLauncher" o "PhotoshopBrowser").Además, tenga en cuenta que muchos programas de malware adoptan nombres genéricos o inofensivos, como "Diskfix" o "SearchHelper"( ambos mencionados a continuación).
- Las entradas de malware generalmente aparecen en la pestaña Logon de Autoruns( pero no siempre)
- Si abre la carpeta que contiene el archivo EXE o DLL( más sobre esto a continuación), examine la fecha de "última modificación", lalas fechas son a menudo de los últimos días( suponiendo que su infección es bastante reciente)
- El malware a menudo se encuentra en la carpeta C: \ Windows o en la carpeta C: \ Windows \ System32
- Malware a menudo solo tiene un icono genérico( a la izquierdadel nombre de la entrada)
En caso de duda, haga clic con el botón derecho en la entrada y seleccione Buscar en línea. ..
La siguiente lista muestra dos entradas sospechosas: Diskfix y SearchHelper
Estas entradas, resaltadas anteriormente, son bastante típicas de infecciones de malware:
- No tienen descripciones ni editores
- Tienen nombres genéricos
- Los archivos están ubicados en C: \ Windows \ System32
- Tienen iconos genéricos
- Los nombres de archivo son cadenas aleatorias decaracteres
- Si busca en la carpeta C: \ Windows \ System32 y localiza los archivos, verá que son algunos de los archivos modificados más recientemente en la carpeta( ver a continuación)
Hacer doble clic en los elementos le llevaráa sus claves de registro correspondientes:
Eliminación del malware
Una vez que haya identificado las entradas que cree que son sospechosas, ahora debe decidir qué desea hacer con ellas. Sus elecciones incluyen:
- Desactivar temporalmente la entrada Autorun
- Eliminar permanentemente la entrada Autorun
- Ubicar el proceso en ejecución( usando el Administrador de tareas o similar) y terminarlo
- Eliminar el archivo EXE o DLL de su disco( o al menos moverlo a una carpeta)donde no se iniciará automáticamente)
o todo lo anterior, dependiendo de qué tan seguro esté de que el programa es malware.
Para ver si los cambios tuvieron éxito, deberá reiniciar el equipo y verificar uno o todos los siguientes: Autoruns
- - para ver si la entrada ha devuelto
- Task Manager( o similar) - para ver si se inició el programanuevamente después del reinicio
- Verifique el comportamiento que lo llevó a creer que su PC estaba infectada en primer lugar. Si ya no está sucediendo, lo más probable es que su PC esté limpia.
Conclusión
Esta solución no es para todos y probablemente esté dirigida a usuarios avanzados. Por lo general, el uso de una aplicación antivirus de calidad hace que el truco, pero si no es Autoruns es una herramienta valiosa en su kit Anti-Malware.
Tenga en cuenta que algunos programas maliciosos son más difíciles de eliminar que otros. Algunas veces necesita varias iteraciones de los pasos anteriores, y cada iteración requiere que observe con más cuidado cada entrada de ejecución automática. En ocasiones, en el momento en que elimina la entrada Autorun, el malware que se está ejecutando reemplaza la entrada. Cuando esto sucede, debemos ser más agresivos en nuestro asesinato del malware, incluidos los programas de terminación( incluso programas legítimos como Explorer.exe) que están infectados con DLL de malware.
En breve publicaremos un artículo sobre cómo identificar, ubicar y finalizar procesos que representan programas legítimos pero que ejecutan archivos DLL infectados, para que esos archivos DLL se puedan eliminar del sistema.
Descargar Autoruns de SysInternals