El post que buscas se encuentra eliminado, pero este también te puede interesar

Guía Para Detectar y Eliminar Virus

Sabemos que existe la presencia de virus ante ciertos comportamientos en la PC. Los siguientes son sólo algunos ejemplos de los muchos que pueden haber

Síntomas:

- Se bloquea administrador de tareas
- Avisos en la barra de inicio de que hay un virus (por parte de software desconocido para el usuario)
- Cambio en la página de inicio del navegador
- Sitios web se abren solos
- Inestabilidad general del sistema
- No es posible ver archivos ocultos o del sistema
- Se copian archivos de dudosa procedencia en las memorias USB
- Rutas del menú inicio apuntan todas a Mis documents y abren tipo Windows Explorer
- Las carpetas abren en una ventana nueva
- No hay acceso a sitios de Microsoft y de compañías de seguriadad informática para impedir actualizar el sistema operativo o el antivirus

Bueno hace poco tenía un virus en el sistema el cual me tuvo loco por 2 semanas y ningún antivirus lo detectaba, al fin lo pude eliminar entonces he decidido postear un ejemplo

Resulta que notaba que memoria USB se copiaba un archivo oculto llamado System.exe, cada vez que lo eliminaba pasaba lo mismo. Cualquier vínculo en el Menú de Inicio resultaba en Mis documentos, además no era posible guardar ninguna configuración de carpeta.

Existen desde los más fáciles de detectar hasta los más complejos.

Lo primero sería abrir el administrador de tareas para ver si hay algún proceso desconocido. Sería útil irse familiarizando poco a poco con los procesos y cada vez que se instala un programa.

También podemos ir a Inicio>Ejecutar y escribir msconfig, para ver si alguna aplicación desconocida se ha agregado al arranque de Windows, generalmente aparecen las rutas entonces en este caso la eliminación sería sencilla.

Para eliminar los virus después de identificados reiniciamos en modo a prueba de fallos. En mi caso este virus era tan poderoso que aún así seguía ejecutandose.

Otra forma: ¿Qué tal si nadie pudiera tener acceso al virus? Pues dejaría de ejecutarse.
Para eso vamos a Opciones de carpeta y desmarcamos la última opción: Utilizar uso compartido de archvos, esto hace que en las propiedades de archivo aparezca la pestaña seguridad (XP Profesional).

Yo tenía 2 virus, svcshost.exe y svsñhost.exe en la carpeta System32, muy parecidos al proceso de sistema svchost.exe por lo que sería fácil pasarlos por desapercibidos.

En algunos casos resulta útil matar el proceso con el administrador de tareas, en mi caso no se pudo y traté de desbloquearlo con el Unlocker, sin embargo se volvía a ejecutar de inmediato.

Ubiqué estos 2 bichos en la carpeta y con click derecho abrí las propiedades, luego en seguridad abrí las opciones avanzadas y desmarqué la casilla Heredar del objeto principal las entradas relativas a los objetos secundarios. A continuación se despliega un cuadro de diálogo, seleccionamos Quitar para que ningún usuario pueda tener acceso y Aceptar.

Ahora ya podemos matar los procesos sin que vuelvan a ejecutarse y seguidamente los eliminamos.

Ahora bien, algunos se ocultan al administrador, entonces podemos usar herramientas como el Hijack This o Tune Up Process Manager (incluido en Tune Up Utilities).
En mi caso tuve que utilizar el Autoruns, excelente herramienta que indica absolutamente todo lo que se ejecuta al inicio.

Así descubrí que tenía un troyano haciendose pasar por explorer.exe (e impidiento ejecutar el explorer de windows) ejecutado por el proceso svchost.exe en la microsoft common de Archivos de programa.

Muy bien procedí a eliminarlo ahora surgió un problemita... no podía ejecutar explorer.exe, la única manera era cambiándolo de nombre pero no ejecutaba la barra de tareas al menos que fuera el nombre original.

Me dediqué a buscar esta ruta del trojano en el registro y encontré una rama de nombre explorer.exe y con valor de la ruta del virus, lo eliminé y problema resuelto (recuerda hacer un respaldo del registro o la rama antes de hacer cambios)

Ahora que pasaría si el virus les bloquea el administrador de tareas.
Inicio>Ejecutar>gpedit.msc

Expandimos Configuración de usuario>Plantillas administrativas>Sistema>Ociones de Ctrl+Alt+Sup, Quitar administrador de tareas, le ponemos deshabilitar.

Ahora el administrador de tareas debe ser accesible nuevamente.
Si le dedican tiempo a examinar gpedit.msc encontrarán algunas cosillas interesantes

Recomendaciones:

- Deshabilitar todo tipo de autorun (reproducción automática). Recomiendo el programa 1st Drive Protector, pues los virus en dispositivos USB utilizan el archivo autorun.inf para infectar las computadoras con sólo introducirlos aprovechándose de la reproducción automática.
- Otra manera es creando nustro propio autorun.inf en las unidades extraíbles y hacer que carguen un ícono personalizado, como los virus dependen del autorun.inf cuando nuestro ícono no aparezca sabremos que el virus lo sobreescribió por lo tanto está presente. (Más adelante explicaré el tema.)
- Adquirir inmunidad en las unidades locales y extraíbles. Utilizar USB Disk Security, el mejor antivirus que conozco en cuanto a protección USB (para redes y monitorización en tiempo real utilizar Symantec Antivirus).
- Mostrar archivos ocultos de sistema y extensiones, pues hay varios virus que se hacen pasar por carpetas, ocultándolas y en su lugar colocando un ejecutable con el nombre de la carpeta, en mi caso las carpetas son azules y estos virus fueron diseñados para las tracionales amarillas de windows entonces me es muy fácil saberlo. Tune Up Styler o Brico Packs
- Mantener una vista de detalles, pues así se puede saber si la aparente carpeta es una aplicación.
- Utilizar Mozilla Firefox, posiblemente el navegador más seguro.
- Dudar siempre de los programa gratuitos. Ejemplo: el programa de control de ciber de cbm dicer ser gratuito porque la idea es vender publicidad, pero en realidad Symantec Antivirus detectó un archivo como troyano, puede que no lo sea, a veces los keygens y aplicaciones similares son detectados como virus.. pero mas vale dudar.
- Muy importante: tener las actualizaciones de Windows al día, ya que muchos virus se aprovechan de las vulnerabilidades de los servicios para propagarse por medio de la red.

- Desconfiar de los links o archivos que nos manden por el msn (preguntar al contacto si efectivamente lo mandó), ya que los virus usan este sistema para infectar vía web al abrir el link (te mete un virus).

El siguiente parche corrige la vulnerabilidad en el servicio RPC (Llamada a Procedimiento Remoto) para evitar infecciones en red.

http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en Para XP Profesional 32 - bit

Otros sistemas

http://www.securityfocus.com/bid/31874/solution

Información sobre un virus muy común W32.Downadup. el que crea el archivo jwgkvsq.vmx en RECYCLER

http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99

PD: Como los virus hacen imposible ver carpetas ocultas impedir su eliminación podemos crear un archivo de registro para hacerlos visibles, hay que copiar lo siguiente:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"HideIcons"=dword:00000000
"ShowSuperHidden"=dword:00000001
"SuperHidden"=dword:00000000



Guardarlo como Mostrar.reg (el nombre puede ser cualquiera pero la extensión reg es indispensable)

Luego, ejecutarlo y seleccionar que sí desea introducir la información al registro.
Previamente con la carpeta que contiene los ocultos abierta, click derecho en un espacio vacío y seleccionar actualizar, inmediatamente podremos ver los archivos ocultos.
Dependiendo del virus, sólo funcionará por algunos segundos, minutos, o mientras estemos explorando la carpeta; pero si conocemos la ubicación del virus nos será suficiente para eliminarlo

También esta el proceso inverso

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"HideFileExt"=dword:00000001
"HideIcons"=dword:00000000
"ShowSuperHidden"=dword:00000000
"SuperHidden"=dword:00000000


Si exploran la rama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced pueden ustedes modificar las opciones a su gusto, y exportar el archivo de registro para automatizar el proceso.



Espero esta guía básica les sea de gran utilidad

Fuentes:

Microsoft
Symantec
SecurityFocus
4 años de experiencia en informática


Mea mens ad veritatem aperiatur

14 comentarios - Guía Para Detectar y Eliminar Virus

mithril
gracias muy bueno m paso algo parecido t dejo puntos ns vems!
Vaguito13
Muy Buena la info soy novato te debo +10 jejejjejejjjj
leonardtrafic
muy pero que muy bueno,estos post le dan gerarquia a taringa. gracias
ELMATAFUEGO169
la verdad trate de leer todo y tratar de conocer el troyano que asecha mi pc. pero no pude . desde ya muchas gracias y segui haciendolos
mebrick777
un trojano puede hacer perder la conexion a internet de tu komputadora????
ske a mi me pasa eso y no se por ke. la trato de reiniciar para ke vuelva a tener conexion no identifico el problema ps tengo el windows vista ......
vermilionx
yo tengo un problema similar a "mebrick777"
he cambiado 2 routers por pensar q estaban defectuosos, pero ahora m doy cuenta
q es un troyano, q satura mi conexion, haciendo q sea lento y dificultoso ver en red,casi cualquier cosa, eso sin incluir las descargas de archivos, q no progresan,
utilize un programa llamado antispyware, parece ser bueno,lo pase pillo 4 bicho 3 trojanos,y un gusano, despues de limpiar el registro, reinicie, y no habia indicios del mismo problema, pero mi error,fue, recuperar el perfil del router, con el software de telefonica (ya q habia reseteado el route,por una configuracion del emule) y wala!!!
a vivir otra vez con una pesima conexion, intente con un antivirus de arranque, pero al detectar se quedo paralizxado mas de 5 horas..(lo apague,desisti)
asi q me queda un ultimo cartucho, el efectivo,la supernova,etc
formatear el pc...bendita ignorancia, nunca sabras si q hay mas soluciones
eso si,Q COÑAZO LO DE LOS TROYANOS, creo q estan en todos sitios, tienen nombre,residencias" y hasta trabajo, los detesto!!!
piti13
impresionante
NEGRO_URUNDAY
groso. che como hago para sacar del arranque de windows estos "programsa o no se que, que aparecen como desconocidos" son: "nova" con el comando c:/shared files/wtlz.exe y "m2.04" con el comando: c:/programfiles/hotkey/hotkey.exe. son cosas que no conozco y no cumplen ninguna funcion, no aparecen en los registros de procesos. como los desactivo? enviame un mp. gracias