Utilice Autoruns para limpiar manualmente una PC infectada
Existen muchos programas antimalware que limpiarán su sistema de desagradables, pero ¿qué sucede si no puede usar dicho programa? Las ejecuciones automáticas, de SysInternals (recientemente adquiridas por Microsoft), son indispensables para eliminar el malware manualmente.
Hay algunas razones por las que puede necesitar eliminar virus y spyware manualmente:
- Tal vez no pueda soportar ejecutar programas anti-malware invasivos y hambrientos de recursos en su PC
- Es posible que necesite limpiar la computadora de su madre (o alguien que no entienda que un gran letrero parpadeante en un sitio web que dice "Su computadora está infectada con un virus: haga clic AQUÍ para eliminarla") no es un mensaje que pueda ser necesariamente de confianza
- El malware es tan agresivo que resiste todos los intentos de eliminarlo automáticamente o ni siquiera le permite instalar software antimalware.
- Parte de su credo geek es la creencia de que las utilidades anti-spyware son para los débiles
Autoruns es una adición invaluable al kit de herramientas de software de cualquier geek. Le permite rastrear y controlar todos los programas (y componentes de programas) que se inician automáticamente con Windows (o con Internet Explorer). Prácticamente todo el malware está diseñado para iniciarse automáticamente, por lo que existe una gran posibilidad de que se pueda detectar y eliminar con la ayuda de Autoruns..
Hemos cubierto cómo utilizar Autoruns en un artículo anterior, que debe leer si necesita familiarizarse primero con el programa..
Autoruns es una utilidad independiente que no necesita instalarse en su computadora. Se puede descargar, descomprimir y ejecutar simplemente (enlace a continuación). Esto hace que sea ideal para agregar a su colección de utilidades portátiles en su unidad flash.
Cuando inicia Autoruns por primera vez en una computadora, se le presenta el acuerdo de licencia:
Después de aceptar los términos, se abre la ventana principal de Autoruns, que muestra la lista completa de todo el software que se ejecutará cuando se inicie la computadora, cuando inicie sesión o cuando abra Internet Explorer:
Para deshabilitar temporalmente el inicio de un programa, desmarque la casilla junto a su entrada. Nota: esto hace no terminar el programa si se está ejecutando en ese momento, simplemente evita que se inicie siguiente hora. Para evitar que un programa se inicie permanentemente, elimine la entrada por completo (use la Borrar clave, o haga clic derecho y elija Borrar desde el menú contextual)). Nota: esto hace no elimine el programa de su computadora - para eliminarlo por completo, necesita desinstalar el programa (o eliminarlo de su disco duro).
Software sospechoso
Puede tomar un poco de experiencia (lea "prueba y error") para convertirse en un experto en identificar qué es el malware y qué no lo es. La mayoría de las entradas presentadas en Autoruns son programas legítimos, incluso si sus nombres no le son familiares. Aquí hay algunos consejos para ayudarlo a diferenciar el malware del software legítimo:
- Si una entrada está firmada digitalmente por un editor de software (es decir, hay una entrada en el Editor columna) o tiene una "Descripción", entonces hay una buena probabilidad de que sea legítimo
- Si reconoces el nombre del software, entonces generalmente está bien. Tenga en cuenta que ocasionalmente el malware "suplanta" al software legítimo, pero adopta un nombre que sea idéntico o similar al software con el que está familiarizado (por ejemplo, "AcrobatLauncher" o "PhotoshopBrowser"). Además, tenga en cuenta que muchos programas de malware adoptan nombres genéricos o de sonido inocuo, como "Diskfix" o "SearchHelper" (ambos mencionados a continuación).
- Las entradas de malware suelen aparecer en la Inicio de sesión pestaña de Autoruns (¡pero no siempre!)
- Si abre la carpeta que contiene el archivo EXE o DLL (más sobre esto a continuación), y examine la fecha de "última modificación", las fechas son a menudo de los últimos días (suponiendo que su infección es bastante reciente)
- El malware a menudo se encuentra en la carpeta C: \ Windows o en la carpeta C: \ Windows \ System32
- El malware a menudo solo tiene un icono genérico (a la izquierda del nombre de la entrada)
En caso de duda, haga clic derecho en la entrada y seleccione Búsqueda en línea ...
La siguiente lista muestra dos entradas de aspecto sospechoso: Diskfix y SearchHelper
Estas entradas, resaltadas arriba, son bastante típicas de las infecciones de malware:
- No tienen descripciones ni editores.
- Tienen nombres genéricos
- Los archivos se encuentran en C: \ Windows \ System32
- Tienen iconos genéricos
- Los nombres de los archivos son cadenas de caracteres al azar.
- Si busca en la carpeta C: \ Windows \ System32 y localiza los archivos, verá que son algunos de los archivos modificados más recientemente en la carpeta (ver más abajo)
Haga doble clic en los elementos para acceder a sus claves de registro correspondientes:
Eliminando el Malware
Una vez que haya identificado las entradas que cree sospechosas, ahora debe decidir qué desea hacer con ellas. Sus opciones incluyen:
- Desactivar temporalmente la entrada de ejecución automática
- Eliminar permanentemente la entrada Autorun.
- Localice el proceso en ejecución (utilizando el Administrador de tareas o similar) y finalícelo
- Elimine el archivo EXE o DLL de su disco (o al menos muévalo a una carpeta donde no se iniciará automáticamente)
o todo lo anterior, dependiendo de qué tan seguro esté de que el programa es malware.
Para ver si sus cambios tuvieron éxito, deberá reiniciar su máquina y verificar cualquiera o todos los siguientes:
- Autoruns - para ver si la entrada ha regresado
- Administrador de tareas (o similar): para ver si el programa se inició nuevamente después del reinicio
- Verifique el comportamiento que lo llevó a creer que su PC estaba infectada en primer lugar. Si ya no sucede, lo más probable es que su PC esté ahora limpia.
Conclusión
Esta solución no es para todos y es muy probable que esté dirigida a usuarios avanzados. Por lo general, usar una aplicación antivirus de calidad funciona, pero si no, Autoruns es una herramienta valiosa en su kit Anti-Malware..
Tenga en cuenta que algunos programas maliciosos son más difíciles de eliminar que otros. A veces necesitas varias iteraciones de los pasos anteriores, y cada iteración requiere que mires más detenidamente cada entrada de Autorun. A veces, en el instante en que elimina la entrada de Ejecución automática, el malware que se está ejecutando reemplaza la entrada. Cuando esto sucede, debemos ser más agresivos en nuestro asesinato del malware, incluidos los programas de terminación (incluso los programas legítimos como Explorer.exe) que están infectados con DLL de malware..
En breve publicaremos un artículo sobre cómo identificar, localizar y terminar procesos que representan programas legítimos pero que están ejecutando DLL infectadas, para que esas DLL puedan eliminarse del sistema..
Descargar Autoruns desde SysInternals