Hay muchos programas anti-malware que limpiarán su sistema de cosas desagradables, pero ¿qué pasa si no puede usar dicho programa? Autoruns, de SysInternals (recientemente adquirido por Microsoft), es esencial para eliminar malware manualmente.
Hay varias razones por las que es posible que deba eliminar los virus y el software espía manualmente:
- Tal vez no pueda soportar ejecutar programas anti-malware invasivos y que consumen muchos recursos en su PC
- Es posible que deba limpiar la computadora de su madre (o la computadora de otra persona que no entienda un gran letrero parpadeante en un sitio web que dice «Su computadora está infectada con un virus; haga clic AQUÍ para eliminarlo). No es un mensaje en el que necesariamente se pueda confiar )
- El malware es tan agresivo que resistirá todos los intentos de eliminarlo automáticamente, o incluso le permitirá instalar software anti-malware.
- Parte de su credo geek es la creencia de que las utilidades anti-spyware son para débiles
Autoruns es una adición invaluable al conjunto de herramientas de software de cualquier geek. Le permite rastrear y controlar todos los programas (y componentes del programa) que se inician automáticamente con Windows (o con Internet Explorer). La mayoría de los programas maliciosos están diseñados para iniciarse automáticamente, por lo que es muy probable que se detecten y eliminen mediante Autoruns.
Cubrimos cómo usar Autoruns en un artículo anterior, que debe leer si primero necesita familiarizarse con el programa.
Autoruns es una utilidad independiente que no necesita estar instalada en su computadora. Puede simplemente descargarse, descomprimirse y ejecutarse (enlace a continuación). Este hecho es ideal para agregar a su colección de utilidades portátiles en su unidad flash.
Cuando inicia Autoruns por primera vez en una computadora, se muestra el acuerdo de licencia:
Después de aceptar los términos, se abre la ventana principal de Autoruns, que le muestra la lista completa de todo el software que se ejecutará cuando su computadora se inicie, cuando inicie sesión o cuando abra Internet Explorer:
Para deshabilitar temporalmente el inicio de un programa, desmarque la casilla junto a su entrada. Nota: esto no no finalizar el programa si se está ejecutando en ese momento; esto simplemente evita que se inicie la próxima vez. Para evitar permanentemente que se inicie un programa, elimine la entrada por completo (use el Borrar o haga clic derecho y elija Borrar en el menú contextual)). Nota: esto no no elimine el programa de su computadora: para eliminarlo por completo, debe desinstalar el programa (o eliminarlo de su disco duro).
Software sospechoso
Es posible que se necesite bastante experiencia (lea “ensayo y error”) para convertirse en un experto en identificar qué es malware y qué no lo es. La mayoría de las entradas que se muestran en Autoruns son programas legítimos, aunque es posible que no esté familiarizado con sus nombres. A continuación, se ofrecen algunos consejos que le ayudarán a diferenciar el software malicioso del software legítimo:
- Si una entrada está firmada digitalmente por un editor de software (es decir, hay una entrada en el Editor columna) o tiene una «Descripción», es muy probable que sea legítima
- Si reconoce el nombre del software, generalmente es bueno. Tenga en cuenta que, en ocasiones, el malware «se hará pasar por» software legítimo, pero adoptará el mismo nombre o uno similar al del software con el que está familiarizado (por ejemplo, «AcrobatLauncher» o «PhotoshopBrowser»). También tenga en cuenta que muchos programas maliciosos adoptan nombres genéricos o inofensivos, como «Diskfix» o «SearchHelper» (ambos mencionados a continuación).
- Las entradas de software malintencionado suelen aparecer en Conectarse Pestaña Autoruns (¡pero no siempre!)
- Si abre la carpeta que contiene el archivo EXE o DLL (más detalles a continuación) y examina la fecha de «última modificación», las fechas son a menudo de los últimos días (asumiendo que su infección es lo suficientemente reciente)
- El malware se encuentra a menudo en la carpeta C: Windows o en la carpeta C: Windows System32
- El malware a menudo solo tiene un icono genérico (a la izquierda del nombre de la entrada)
En caso de duda, haga clic derecho en la entrada y seleccione Búsqueda en línea …
La siguiente lista muestra dos entradas sospechosas: Corrección de disco y Buscar Ayuda
Estas entradas, destacadas anteriormente, son bastante típicas de las infecciones de malware:
- No tienen descripciones ni editores.
- Tienen nombres genéricos
- Los archivos se encuentran en C: Windows System32
- Tienen iconos genéricos
- Los nombres de archivo son cadenas aleatorias
- Si busca en la carpeta C: Windows System32 y ubica los archivos, verá que estos son algunos de los archivos modificados más recientemente en la carpeta (ver más abajo)
Al hacer doble clic en los elementos, accederá a sus claves de registro correspondientes:
Eliminación de malware
Una vez que haya identificado las entradas que cree que son sospechosas, ahora debe decidir qué hacer con ellas. Tus opciones incluyen:
- Desactive temporalmente la entrada de ejecución automática
- Eliminar permanentemente la entrada de ejecución automática
- Localice el proceso en ejecución (usando el Administrador de tareas o similar) y deténgalo
- Elimine el archivo EXE o DLL de su disco (o al menos muévalo a una carpeta donde no se iniciará automáticamente)
o todo lo anterior, dependiendo de qué tan seguro sea el programa malicioso.
Para ver si sus cambios fueron exitosos, deberá reiniciar su computadora y verificar algunos o todos los siguientes:
- Autoruns: para ver si la entrada ha regresado
- Administrador de tareas (o similar): para ver si el programa se ha reiniciado después de reiniciar
- Verifique el comportamiento que lo llevó a creer que su PC estaba infectada en primer lugar. Si esto ya no sucede, es muy probable que su PC esté ahora limpia.
Conclusión
Esta solución no es para todos y probablemente esté destinada a usuarios avanzados. Por lo general, usar una buena aplicación antivirus será suficiente, pero si no, Autoruns es una herramienta valiosa en su kit Anti-Malware.
Tenga en cuenta que algunos programas maliciosos son más difíciles de eliminar que otros. A veces, necesita varias iteraciones de los pasos anteriores, y cada iteración lo obliga a observar más de cerca cada entrada de AutoPlay. A veces, en el instante en que elimina la entrada de ejecución automática, el malware en ejecución reemplaza la entrada. Cuando esto sucede, tenemos que ser más agresivos en nuestra eliminación de malware, incluida la finalización de programas (incluso programas legítimos como Explorer.exe) que están infectados con archivos DLL de malware.
Pronto publicaremos un artículo sobre cómo identificar, localizar y finalizar procesos que representan programas legítimos pero que ejecutan DLL infectadas, de modo que estas DLL se puedan eliminar del sistema.