CoMiKe

0. Introducción

1. Servicios de Windows

2. Entradas de inicio en el registro.

2.1. Valor Userinit en HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/
2.2. HKCU/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce
2.3. HKLM/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce - RunOnceEx

3. Entrada "Inicio" en el menú inicio.

3.1. %USERPROFILE%\Programas\Inicio\
3.2. %ALLUSERSPROFILE%\Programas\Inicio\

4. Suplantación de ficheros de sistema.

------------------

0. Introducción

Antes de nada, escribo todo esto de la forma más humilde posible. Posiblemente haya fallos o me haya dejado cosas por el camino, e incluso desconozca más lugares desde los que se inician programas.

No soy un experto reconocido en el tema, así que no me deis muchos palos, por favor.

Si teneis alguna sugerencia o conocimientos que se puedan añadir, no dudeis en comentarlo.

Por cierto, si rompeis algo en vuestro sistema, yo no me hago cargo. Si no estás seguro de lo que estás haciendo, no intentes arreglar nada y tira de antivirus.

Pues bien, empecemos.

Para poder eliminar manualmente los virus de un sistema, hay que comprender como funcionan.

La intención de un virus es estar constantemente en ejecución en el sistema, y tener procesos alternativos para que, en caso de que se elimine una instancia del virus, éste vuelva a ser ejecutado o vuelva a ser programado para ejecutarse de nuevo cuando se reinicie el sistema.

Por tanto, no hay ningún sistema demasiado eficaz para eliminar un virus del sistema desde el propio sistema operativo infectado.

La idea de esta guia es encontrar desde dónde se están iniciando los virus y anotarlo para después reiniciar con otro sistema (un sistema Linux, ya sea LiveCD o instalado en el sistema, un sistema Windows PE, etc).

Pues bien, revisaremos desde donde pueden ser iniciados los programas en Windows, y anotaremos todos los ficheros culpables o sospechosos para posteriormente eliminarlos desde el sistema externo.

Una vez eliminados, habrá que iniciar el sistema y volver a repasar todo de nuevo para comprobar que no siguen ahí y para eliminar las trazas que hayan dejado por el sistema.

A continuación se indican los lugares del sistema desde los que se inician los programas de Windows, en el orden en que se van iniciando al arrancar el sistema.


1. Servicios de Windows

Los servicios de Windows se inician con el sistema, antes y sin necesidad de que ningún usuario haya iniciado sesión en el sistema.

Para revisar la lista de servicios: Menú Inicio --> Ejecutar --> services.msc

Ordenamos el listado de servicios por estado, de forma que nos aparezcan al principio de la lista los servicios Iniciados.

Habitualmente, los servicios más sospechosos de ser un virus son los que no tienen descripción, o los que tienen la descripción en un idioma distinto al del sistema. Ésto, por supuesto, no es definitivo, pero nos sirve para echar un vistazo de manera más rápida a los servicios. Si teneis el sistema en inglés, os va a tocar revisarlo todo con más cautela.

Pinchad 2 veces y revisar la ruta y el nombre del ejecutable, y anotadlo si os parece sospechoso.

Revisaremos con más atención los servicios iniciados, pero no dejeis tampoco los servicios que están parados.


2. Entradas de inicio en el registro.

Para acceder al registro del sistema: Menú Inicio --> Ejecutar --> Regedit

Como referencia, ten en cuenta las siguientes abreviaturas:

- HKCU = HKEY_CURRENT_USER
- HKLM = HKEY_LOCAL_MACHINE


2.1. Valor Userinit en HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/

Cuando un usuario inicia sesión en el sistema, el sistema lee este valor del registro del sistema y lanza los programas indicados en el valor, que serán los encargados de iniciar la sesión del usuario, lanzando todos los programas asociados al inicio de sesión.

En un sistema recien instalado, el valor Userinit tiene la siguiente información.

Userinit = "C:\Windows\System32\Userinit.exe,"

Algunos virus (sobre todo, keyloggers, como el famoso virus de los acentos) añaden detrás de la coma el programa malicioso (o suplantan a userinit.exe o svchost.exe, ver el punto 4), de forma que se ejecuta nada más iniciar sesión con cualquier cuenta de usuario.

Si sucede algo así, anotaos el fichero que aparece detrás de la coma para eliminarlo posteriormente.


2.2. HKCU/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce

Una vez iniciada la sesión, userinit.exe se encarga de ejecutar los programas indicados en estas dos ramas del registro.

- Run: Los programas son iniciados cada vez que se inicia la sesión del usuario.
- RunOnce: Los programas son iniciados sólo una vez cuando se inicia la sesión del usuario. Una vez ejecutados, desaparacen de la lista. Esta rama suele utilizarse para posponer partes de la instalación de un programa hasta el reinicio del sistema.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estaría de más eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.


2.3. HKLM/Software/Microsoft/Windows/CurrentVersion/Run - RunOnce - RunOnceEx

Una vez iniciada la sesión, userinit.exe se encarga de ejecutar los programas indicados en estas dos ramas del registro.

- Run: Los programas son iniciados cada vez que cualquier usuario inicia sesión en el sistema.
- RunOnce: Los programas son iniciados sólo una vez cuando se inicia la sesión de cualquiera de los usuarios. Una vez ejecutados, desaparacen de la lista. Esta rama suele utilizarse para posponer partes de la instalación de un programa hasta el reinicio del sistema.
- RunOnceEx: Similar al anterior.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estaría de más eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.


3. Entrada "Inicio" en el menú inicio.

Una vez que se ha iniciado la sesión, se lanzan los programas colocados en estas dos carpetas.

Habitualmente, %USERPROFILE% se refiere a la carpeta \Documents and settings\<tu nombre de usuario>, y %ALLUSERSPROFILE% se refiere a \Documents and settings\All Users.


3.1. %USERPROFILE%\Menu Inicio\Programas\Inicio\

Los programas en esta carpeta de inician solo para el usuario actual del equipo.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estaría de más eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.


3.2. %ALLUSERSPROFILE%\Menu Inicio\Programas\Inicio\

Los programas en esta carpeta de inician para cualquier usuario que inicie sesión en el equipo.

Hay que revisar todos las entradas que aparecen y anotar las sospechosas. No estaría de más eliminar todas las que no sean necesarias con el fin de acelerar el inicio del sistema.


4. Suplantación de ficheros de sistema.

Muchos virus sustituyen ficheros de sistema. Los más habituales suelen ser algunos ficheros de \Windows\System32, como userinit.exe, svchost.exe (programa que inicia los servicios del sistema), rundll32.exe (ejecuta funciones de una DLL), user32.exe, etc.

Si no hemos encontrado nada en el sistema, no estaría de más revisar si alguno de estos ficheros ha sido modificado.

Una forma de saberlo es mirar si la fecha del fichero coincide con la de otros ficheros de sistema, y mostrar las propiedades del fichero e ir a la pestaña de Version.

Todos los campos deberían contener información sobre la fecha, la versión y el lenguaje del fichero, y deberían de coincidir con otros ficheros del sistema operativo.

Si es sospechoso, anotadlo para reemplazarlo posteriormente.

------------------

Sugerencias adicionales de Uncanny
---------------------------------------

Sugerencias preventivas:

- Evitar usar una cuenta de usuario con permisos de Administrador, al menos si se está usando una red no confiable ("untrusted" como dicen los yankis), ejemplo, Internet.

- Instalar un buen antivirus, con protección en tiempo real y diariamente actualizado, y un cortafuegos/firewall. Comodo Internet Security me parece la opción más completa y además gratuita de las que existen actualmente, además, incluye un funcionalidad opcional de "sandbox" , que crea una zona de memoria protegida donde podemos ejecutar aplicaciones desconocidas y no firmadas sin peligro a que haga cosas raras en el sistema.

- A ser posible, buscar y usar alternativas a IE, Outlook y sobre todo MSN Messenger, son un colador y un nido de malware, de gente "infectada" sin saberlo por otros por virus, gusanos y demás malware.

- Desativar el "autorun" o autoejecución de aplicaciones en CDs/DVDs y dispositivos de almacenamiento masivo por USB (HDs y pendrives).

HKLM\SYSTEM\CurrentControlSet\Services\Cdrom --> Autorun = 0

Inicio --> Ejecutar --> gpedit.msc --> Configuración del equipo --> Plantillas administrativas --> Sistema --> Desactivar reproducción automática --> Habilitada --> Todas las unidades.

Sugerencias para cuando toca arreglar "el desaguisado":

- Ser medio-paranoico... o mejor dicho, comprobar el sistema. Una forma es saber, cuando el sistema está limpio (recién instalado a poder ser) ver que procesos se ejecutan al iniciar y están en ejecución (en el siguiente consejo hablo de herramientas para esto), así se tiene una referencia de la diferencia que hay entre lo que hay ahora y antes cuando todo estaba al mínimo y limpio.

- Estar armado con aplicaciones tales como las del paquete Windows Sysinternals, entre otras Process Explorer (un MUY mejorado administrador de procesos) y Autoruns, dicha aplicación muestra todos los lugares en Windows donde una aplicación se puede ejecutar el inicio, y hacer al al respecto si una nos mosquea, por supuesto. Otra herramienta, que además tampoco requiere instalación (eso lo hace portable en un CD o pendrive USB por ejemplo) es AVZ Antiviral Toolkit, la web está en ruso, pero la aplicación está en inglés. En realidad la aplicación es de Kaspersky y se puede descargar de esa web o de aquí, es una herramienta muy versátil y potente, más info aquí.

- Tener a mano un Boot CD con utilidades de todo tipo para rescate, en caso de que sea dificil de eliminar desde el propio sistema, aunque sea en modo "a prueba de errores", uno de los más completos y sin ninguna aplicación con licencias de distribución restrictivas, es Ultimate Boot CD, el cual se puede grabar tanto en CD como en un pendrive USB, es especialmente bueno tenerlo a mano porque incluye, entre otras utilidades, el antivirus Avira en modo "Live Rescue System" para escanear las particiones de los discos duros sin cargar Windows y limpiar lo que encuentre o la distro Parted Magic, que carga todo un sistema Linux ligero con muchas utilidades, a parte de particionado, para poder montar las particiones Windows y borrar archivos que aun habiéndolo detectado en Windows, no permiten borrarse por estar en ejecución ni matando el proceso.

- Hablando de Live CDs de rescate, otro antivirus en CD (con Unetbootin podemos instalarlo en un pendrive USB) es el Kaspersky Rescue Disk 2008, no hay dejarse engañar por el "2008" ni la fecha de la ISO, lleva el motor de KAV en un Live Linux System que además permite actualizaciones de su BB.DD. por Internet (eso si, se necesita estar conectado por red cableada y a ser posible automática por DHCP) por lo que siempre puedes escanear estando actualizado con las últimas definiciones de malware.