Eliminar virus manualmente del sistema.

CoMiKe — Sat, 07 Aug 2010 11:48:30 GMT

0. Introducci�n

1. Servicios de Windows

2. Entradas de inicio en el registro.

2.1. Valor Userinit en HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/
2.2. HKCU/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce
2.3. HKLM/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce - RunOnceEx

3. Entrada "Inicio" en el men� inicio.

3.1. %USERPROFILE%\Programas\Inicio\
3.2. %ALLUSERSPROFILE%\Programas\Inicio\

4. Suplantaci�n de ficheros de sistema.

------------------

0. Introducci�n

Antes de nada, escribo todo esto de la forma m�s humilde posible. Posiblemente haya fallos o me haya dejado cosas por el camino, e incluso desconozca m�s lugares desde los que se inician programas.

No soy un experto reconocido en el tema, as� que no me deis muchos palos, por favor. :D

Si teneis alguna sugerencia o conocimientos que se puedan a�adir, no dudeis en comentarlo.

Por cierto, si rompeis algo en vuestro sistema, yo no me hago cargo. Si no est�s seguro de lo que est�s haciendo, no intentes arreglar nada y tira de antivirus.

Pues bien, empecemos.

Para poder eliminar manualmente los virus de un sistema, hay que comprender como funcionan.

La intenci�n de un virus es estar constantemente en ejecuci�n en el sistema, y tener procesos alternativos para que, en caso de que se elimine una instancia del virus, �ste vuelva a ser ejecutado o vuelva a ser programado para ejecutarse de nuevo cuando se reinicie el sistema.

Por tanto, no hay ning�n sistema demasiado eficaz para eliminar un virus del sistema desde el propio sistema operativo infectado.

La idea de esta guia es encontrar desde d�nde se est�n iniciando los virus y anotarlo para despu�s reiniciar con otro sistema (un sistema Linux, ya sea LiveCD o instalado en el sistema, un sistema Windows PE, etc).

Pues bien, revisaremos desde donde pueden ser iniciados los programas en Windows, y anotaremos todos los ficheros culpables o sospechosos para posteriormente eliminarlos desde el sistema externo.

Una vez eliminados, habr� que iniciar el sistema y volver a repasar todo de nuevo para comprobar que no siguen ah� y para eliminar las trazas que hayan dejado por el sistema.

A continuaci�n se indican los lugares del sistema desde los que se inician los programas de Windows, en el orden en que se van iniciando al arrancar el sistema.

1. Servicios de Windows

Los servicios de Windows se inician con el sistema, antes y sin necesidad de que ning�n usuario haya iniciado sesi�n en el sistema.

Para revisar la lista de servicios: Men� Inicio --> Ejecutar --> services.msc

Ordenamos el listado de servicios por estado, de forma que nos aparezcan al principio de la lista los servicios Iniciados.

Habitualmente, los servicios m�s sospechosos de ser un virus son los que no tienen descripci�n, o los que tienen la descripci�n en un idioma distinto al del sistema. �sto, por supuesto, no es definitivo, pero nos sirve para echar un vistazo de manera m�s r�pida a los servicios. Si teneis el sistema en ingl�s, os va a tocar revisarlo todo con m�s cautela.

Pinchad 2 veces y revisar la ruta y el nombre del ejecutable, y anotadlo si os parece sospechoso.

Revisaremos con m�s atenci�n los servicios iniciados, pero no dejeis tampoco los servicios que est�n parados.

2. Entradas de inicio en el registro.

Para acceder al registro del sistema: Men� Inicio --> Ejecutar --> Regedit

Como referencia, ten en cuenta las siguientes abreviaturas:

- HKCU = HKEY_CURRENT_USER
- HKLM = HKEY_LOCAL_MACHINE

2.1. Valor Userinit en HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/

Cuando un usuario inicia sesi�n en el sistema, el sistema lee este valor del registro del sistema y lanza los programas indicados en el valor, que ser�n los encargados de iniciar la sesi�n del usuario, lanzando todos los programas asociados al inicio de sesi�n.

En un sistema recien instalado, el valor Userinit tiene la siguiente informaci�n.

Userinit = "C:\Windows\System32\Userinit.exe,"

Algunos virus (sobre todo, keyloggers, como el famoso virus de los acentos) a�aden detr�s de la coma el programa malicioso (o suplantan a userinit.exe o svchost.exe, ver el punto 4), de forma que se ejecuta nada m�s iniciar sesi�n con cualquier cuenta de usuario.

Si sucede algo as�, anotaos el fichero que aparece detr�s de la coma para eliminarlo posteriormente.

2.2. HKCU/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce

Una vez iniciada la sesi�n, userinit.exe se encarga de ejecutar los programas indicados en estas dos ramas del registro.

- Run: Los programas son iniciados cada vez que se inicia la sesi�n del usuario.
- RunOnce: Los programas son iniciados s�lo una vez cuando se inicia la sesi�n del usuario. Una vez ejecutados, desaparacen de la lista. Esta rama suele utilizarse para posponer partes de la instalaci�n de un programa hasta el reinicio del sistema.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estar�a de m�s eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.

2.3. HKLM/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce - RunOnceEx

Una vez iniciada la sesi�n, userinit.exe se encarga de ejecutar los programas indicados en estas dos ramas del registro.

- Run: Los programas son iniciados cada vez que cualquier usuario inicia sesi�n en el sistema.
- RunOnce: Los programas son iniciados s�lo una vez cuando se inicia la sesi�n de cualquiera de los usuarios. Una vez ejecutados, desaparacen de la lista. Esta rama suele utilizarse para posponer partes de la instalaci�n de un programa hasta el reinicio del sistema.
- RunOnceEx: Similar al anterior.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estar�a de m�s eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.

3. Entrada "Inicio" en el men� inicio.

Una vez que se ha iniciado la sesi�n, se lanzan los programas colocados en estas dos carpetas.

Habitualmente, %USERPROFILE% se refiere a la carpeta \Documents and settings\, y %ALLUSERSPROFILE% se refiere a \Documents and settings\All Users.

3.1. %USERPROFILE%\Menu Inicio\Programas\Inicio\

Los programas en esta carpeta de inician solo para el usuario actual del equipo.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estar�a de m�s eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.

3.2. %ALLUSERSPROFILE%\Menu Inicio\Programas\Inicio\

Los programas en esta carpeta de inician para cualquier usuario que inicie sesi�n en el equipo.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estar�a de m�s eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.

4. Suplantaci�n de ficheros de sistema.

Muchos virus sustituyen ficheros de sistema. Los m�s habituales suelen ser algunos ficheros de \Windows\System32, como userinit.exe, svchost.exe (programa que inicia los servicios del sistema), rundll32.exe (ejecuta funciones de una DLL), user32.exe, etc.

Si no hemos encontrado nada en el sistema, no estar�a de m�s revisar si alguno de estos ficheros ha sido modificado.

Una forma de saberlo es mirar si la fecha del fichero coincide con la de otros ficheros de sistema, y mostrar las propiedades del fichero e ir a la pesta�a de Version.

Todos los campos deber�an contener informaci�n sobre la fecha, la versi�n y el lenguaje del fichero, y deber�an de coincidir con otros ficheros del sistema operativo.

Si es sospechoso, anotadlo para reemplazarlo posteriormente.

------------------

Sugerencias adicionales de Uncanny
---------------------------------------

Sugerencias preventivas:

- Evitar usar una cuenta de usuario con permisos de Administrador, al menos si se est� usando una red no confiable ("untrusted" como dicen los yankis), ejemplo, Internet.

- Instalar un buen antivirus, con protecci�n en tiempo real y diariamente actualizado, y un cortafuegos/firewall. Comodo Internet Security me parece la opci�n m�s completa y adem�s gratuita de las que existen actualmente, adem�s, incluye un funcionalidad opcional de "sandbox" , que crea una zona de memoria protegida donde podemos ejecutar aplicaciones desconocidas y no firmadas sin peligro a que haga cosas raras en el sistema.

- A ser posible, buscar y usar alternativas a IE, Outlook y sobre todo MSN Messenger, son un colador y un nido de malware, de gente "infectada" sin saberlo por otros por virus, gusanos y dem�s malware.

- Desativar el "autorun" o autoejecuci�n de aplicaciones en CDs/DVDs y dispositivos de almacenamiento masivo por USB (HDs y pendrives).

HKLM\SYSTEM\CurrentControlSet\Services\Cdrom --> Autorun = 0

Inicio --> Ejecutar --> gpedit.msc --> Configuraci�n del equipo --> Plantillas administrativas --> Sistema --> Desactivar reproducci�n autom�tica --> Habilitada --> Todas las unidades.

Sugerencias para cuando toca arreglar "el desaguisado":

- Ser medio-paranoico... o mejor dicho, comprobar el sistema. Una forma es saber, cuando el sistema est� limpio (reci�n instalado a poder ser) ver que procesos se ejecutan al iniciar y est�n en ejecuci�n (en el siguiente consejo hablo de herramientas para esto), as� se tiene una referencia de la diferencia que hay entre lo que hay ahora y antes cuando todo estaba al m�nimo y limpio.

- Estar armado con aplicaciones tales como las del paquete Windows Sysinternals, entre otras Process Explorer (un MUY mejorado administrador de procesos) y Autoruns, dicha aplicaci�n muestra todos los lugares en Windows donde una aplicaci�n se puede ejecutar el inicio, y hacer al al respecto si una nos mosquea, por supuesto. Otra herramienta, que adem�s tampoco requiere instalaci�n (eso lo hace portable en un CD o pendrive USB por ejemplo) es AVZ Antiviral Toolkit, la web est� en ruso, pero la aplicaci�n est� en ingl�s. En realidad la aplicaci�n es de Kaspersky y se puede descargar de esa web o de aqu�, es una herramienta muy vers�til y potente, m�s info aqu�.

- Tener a mano un Boot CD con utilidades de todo tipo para rescate, en caso de que sea dificil de eliminar desde el propio sistema, aunque sea en modo "a prueba de errores", uno de los m�s completos y sin ninguna aplicaci�n con licencias de distribuci�n restrictivas, es Ultimate Boot CD, el cual se puede grabar tanto en CD como en un pendrive USB, es especialmente bueno tenerlo a mano porque incluye, entre otras utilidades, el antivirus Avira en modo "Live Rescue System" para escanear las particiones de los discos duros sin cargar Windows y limpiar lo que encuentre o la distro Parted Magic, que carga todo un sistema Linux ligero con muchas utilidades, a parte de particionado, para poder montar las particiones Windows y borrar archivos que aun habi�ndolo detectado en Windows, no permiten borrarse por estar en ejecuci�n ni matando el proceso.

- Hablando de Live CDs de rescate, otro antivirus en CD (con Unetbootin podemos instalarlo en un pendrive USB) es el Kaspersky Rescue Disk 2008, no hay dejarse enga�ar por el "2008" ni la fecha de la ISO, lleva el motor de KAV en un Live Linux System que adem�s permite actualizaciones de su BB.DD. por Internet (eso si, se necesita estar conectado por red cableada y a ser posible autom�tica por DHCP) por lo que siempre puedes escanear estando actualizado con las �ltimas definiciones de malware.

Software del d�a: KatMouse y Layout.dll

CoMiKe — Thu, 21 Feb 2008 14:15:12 GMT

Hola a todos de nuevo!

Visto el exitazo de mi anterior entrada en el Blog, [wei] qu� menos que seguir dando a conocer nuevas utilidades para mejorar el uso de nuestro querido M$ Window$.

Katmouse (Pagina Web, Download)
-------------------------------------------------

Esta peque�a utilidad tiene el objetivo de hacer m�s c�modo el uso de la rueda del rat�n.

Simplemente, hace que la rueda haga scroll en la ventana que est� bajo el cursor, y NO en la ventana activa.

Este simple detalle, que parece una tonter�a, puede sacar de quicio a m�s de un usuario.

Por ejemplo, est�s navegando por Internet y has activado un cuadro desplegable. Vas a hacer scroll en la p�gina, y en vez de hacer scroll, cambias el valor del desplegable y la p�gina se recarga... y tu te tiras de todos los pelos que tienes a mano...

�sto no hubiese sucedido utilizando KatMouse.

De todas formas, es posible que no lo necesiteis, ya que los drivers de algunos ratones ya tienen esa funci�n integrada.

Layout.dll (Pagina Web, Download)
-------------------------------------------------

Con �sto si que nos hemos tirado de los pelos m�s de una vez.

Este programa permite guardar la posici�n de los iconos de nuestro escritorio, para que, en caso de que los iconos se descoloquen (muy com�n al pinchar por error en "Ordenar por nombre"), podamos recuperar sus posiciones originales.

Despu�s de copiar el fichero layout.dll a System32 y ejecutar el archivo de registro que viene en el zip, aparecen dos nuevas opciones al pinchar con el bot�n derecho sobre cualquier icono de sistema (Mi PC, Mis documentos, Mis sitios de red, Papelera de reciclaje).

Creo que no hace falta que explique nada m�s sobre �sto.

Espero que os resulte �til, y a ver si os animais a escribir alg�n comentario.

Un saludo!!

Software del dia: DM2 (Dialog Mate 2)

CoMiKe — Wed, 20 Feb 2008 13:10:25 GMT

Buenas!

He decidido que, cuando disponga de algo de tiempo libre y no tenga nada mejor que hacer, voy a intentar dar a conocer algunas utilidades (la mayor�a open source, y si no es posible, freeware) para M$ Windows que hagan su uso m�s c�modo y sencillo, ya que soy bastante aficionado a los programas que hacen m�s confortable la estancia delante del equipo.

No voy a hacer una descripci�n exacta de cada una de las caracter�sticas de cada programa, sino que me limitar� a daros mi punto de vista sobre el uso que hago de cada uno de esos programas.

DM2 v1.23.1 (Pagina Web, Download)
-------------------------------------------------
Este programa a�ade unas cuantas caracter�sticas bastante �tiles a la hora de manejar las ventanas en Windows.

Las mas interesantes, desde mi punto de vista, son las siguientes:

---

1. Alinear ventana: Al pinchar con el bot�n derecho en el bot�n "Minimizar" de cualquier ventana, aparece un cuadro que permite alinear la ventana a cualquier extremo del escritorio (y tambi�n centrarla).

2. Tama�o de la ventana: Al pinchar con el bot�n derecho en el bot�n "Maximizar" de cualquier ventana, aparece un men� que permite seleccionar el tama�o de la ventana. Muy �til para programaci�n web cuando necesitas probar la p�gina a distintas resoluciones.

3. Minimizar a la bandeja de sistema: Al pinchar con el bot�n central en el bot�n "Minimizar" de cualquier ventana, la ventana queda minimizada en la bandeja de sistema, al lado del reloj.

4. Always on top: Al pinchar con el bot�n central en el bot�n "Maximizar" de cualquier ventana, la ventana pasa a estar encima del resto (always on top). Para devolverla a su posici�n original, basta con volver a pinchar en el bot�n de "Maximizar" con el bot�n central. Extremadamente �til cuando tienes que copiar cosas a mano.

A parte de todo esto, el programa tiene soporte para atajos de teclado y plugins, con lo que tambi�n lo utilizo para aumentar o disminuir la gamma mediante la pulsaci�n de AltGr y los cursores cuando estoy dentro de los juegos.

Tiene otras muchas opciones, y como aqu� hay programadores, a lo mejor alguno se anima a crear alg�n plugin m�s (como molar�a tener un plugin para deshabilitar el bot�n "Cerrar" de algunas ventanas...)

Espero que os resulte interesante y �til, ya que tengo otros cuantos programas de los que quiero hacer una peque�a review.

ZonaDeVicio - Tu comunidad de videojuegos online - blogs - CoMiKe

Eliminar virus manualmente del sistema.

Software del d�a: KatMouse y Layout.dll

Software del dia: DM2 (Dialog Mate 2)