A todos nos ha sucedido alguna vez, el que nuestro PC se vea infectado por un codigo malicioso o virus

El primer paso para acabar con un virus es DETECTARLO :

Antes de nada tienes que tener razones de peso para saber si puedes tener algún virus en tu ordenador, especialmente si tienes un antivirus y éste no ha dicho nada.

Un síntoma muy fácil de reconocer es la aparición de ventanas emergentes con publicidad, así como que se te carguen páginas distintas a las que estás intentando ver. Técnicamente esto no sería un virus sino adware/malware, pero para simplificar tratare todos estos términos por igual.

La navegación por Internet excesivamente lenta puede ser también un síntoma, aunque no tan claro como el anterior ya que es causado por otros motivos también. En cualquier caso, si notas que tu conexión actúa como si la estuvieras usando más de lo que realmente la usas, no te vendrá mal sospechar.

Una lectura excesiva del disco duro sin razón es otro motivo para sospechar, ya que algunos virus se extienden por el disco duro buscando archivos que infectar.

Por último, pero no por ello menos importante, si tus amigos te avisan de que les estás enviando mensajes por correo electrónico o mensajería instantánea que tú no has enviado, es seguro que estás infectado.

Tras la sospecha inicial, tienes que asegurarte de que algo no anda bien en tu Windows. Tienes varios modos de comprobarlo.


Lo primero es analizar los procesos activos.

Desde Windows, iniciando el Administrador de Tareas ( combinacion de teclas Ctrl+Alt+Supr en Windows XP, o Crtl + Mayusculas + Esc en Windows Vista ) puedes consultar, en la pestaña Procesos, todo lo que está cargado en ese momento :




La idea es buscar procesos que no deberían estar ahí; El problema es que la mayoría de las veces no sabrás si un proceso es normal de Windows o no, aunque siempre puedes buscar más información en Google o páginas especializadas como .


Si no has conseguido sacar en claro nada de lo anterior, las conexiones activas en el ordenador son a veces un claro indicativo de que algún tipo de malware se encuentra activo.

Para obtener una lista de las conexiones activas tienes que abrir la ventana de comandos y para acceder a ella, ve a Inicio --> Ejecutar y escribe CMD y en la ventana que se nos abre escribiremos “netstat”; Nos aparecerá una ventana como la siguiente:




Al igual que ocurría con los procesos del Administrador de tareas, la dificultad mayor está en interpretar los datos. Para nuestro fin debemos obviar las conexiones locales (localhost o el nombre del equipo) y aquellas que están causadas por programas que conocemos.

Por ejemplo, pueden ser la publicidad incluida en la ventana de Messenger o Firefox buscando actualizaciones para sus extensiones. Para minimizar el “ruido” es mejor cerrar todas las aplicaciones posibles antes de ejecutar “netstat”, especialmente los programas P2P.

Algunos malware se pueden reconocer porque realizan una buena cantidad de conexiones al intentar expandirse por Internet o actuar como “zombies”.




El arranque automático de Windows es una de las paradas obligadas para casi todos los virus y malware. Comprobar qué se está iniciando con Windows es muy sencillo. Sin necesidad de ninguna herramienta adicional, lo puedes hacer desde el Menú Inicio --> Ejecutar --> escribimos msconfig y se nos abrira esta ventana :






Sigue siendo difícil para un usuario novato distinguir entre los elementos normales y los que no lo son. Una vez más, Google sale al rescate, así como ProcessLibrary, que ya comenté antes.

A veces, sin embargo, es realmente fácil encontrar el malware ya que no se camufla demasiado bien y, para evitar ser reconocido por los antivirus, utiliza nombres autogenerados como aebdfcehu.exe, bueghefa.exe, abdubfgb.exe… etc. etc.

ELIMINARLO :

El objetivo principal es borrar el archivo infectado, pero esto no siempre es posible. Generalmente se encuentran protegidos para que no puedas borrarlos, u otro proceso se encarga de regenerarlo después de cada arranque.

Para esos archivos que se resisten a ser borrados puedes utilizar

Si has eliminado el archivo correcto, es probable que la próxima vez que arranques Windows te aparezca una ventana de error indicando un fallo al tratar de cargar un archivo que no existe. Es una buena señal, pues indica que lo has hecho bien. Te faltaría eliminar las entradas del arranque que le mencionan para terminar la limpieza.

Sin embargo, sucede con frecuencia que el archivo que has borrado está efectivamente borrado, pero otro ocupa su lugar. Esto es así porque el virus se ha “dado cuenta” de que has borrado uno de sus archivos y lo ha regenerado. De igual modo, también puede detectar cuándo le has eliminado del arranque y reinstalarse en el mismo.

La teoría es la siguiente: el arranque inicia un ejecutable que por tanto se convierte en un proceso activo que monitoriza el arranque y los archivos. Si lo quitas del arranque, vuelve a ponerse por sí solo. Si borras el archivo, se restaura. Muchas veces, además, Windows no te deja cerrar el proceso desde el Administrador de Tareas.

En tal caso, has eliminado el archivo incorrecto. Tienes que acabar con el archivo correcto y todos los demás caerán, debes eliminar el archivo que está monitorizando y regenerando los virus.

Para ello deberás volver al paso 1 ( detectar ) y encontrar el archivo principal del virus con la ayuda de utilidades como .


Eliminar virus, troyanos y otras cosas indeseables de forma manual es una tarea ardua y que no está al alcance de cualquiera, pero tiene sus recompensas. Por ejemplo, la mayoría de las veces el sistema quedará intacto, con lo cual te ahorras las molestias de formatear y reinstalar el sistema. Además, en algunas ocasiones resulta más rápido que esperar a que un antivirus termine de escanear todos tus archivos.

En cualquier caso, con paciencia, algo de sentido común y teniendo siempre en mente que un virus no es más que un programa informático más, los resultados suelen ser positivos. Espero que estas indicaciones generales os sirvan para paliar las molestias causadas por estos indeseables invitados.


Espero que os sea de ayuda, salu2

Hola Arwen................

Que bueno verte por aquí gracias por tu aporte.


Saludos

pd: te lo muevo a la zona de seguridad

Pues, creo que es un excelente tutorial, copn ello muestra que no estoy tan mal para buscar virus.. asi que te agradezco el aporte y siempre se aprende algo nuevo.
por lom que respecta al SysinternalsSuite tengo que correr cada uno de los exe's o no se, por favor iluminame.
ues en espera de tu respuesta me despido agradeciendo nuevamente ntu gran aporte

Hola a todos que tal, soy nuevo en el foro, y este tema me intereso en especial, y quiero comentarles que a mi me ha funcionado tambien lo siguiente, una vez que identificaste el archivo activo y no se deje borrar, solo ejecuto restaurar sistema a un punto atras, generalmente antes de haber bajado o instalado algo, curiosamente el o los archivos se queda en su lugar inactivo y lo borro con un simple eliminar, me ha funcionado varias veces, para eso cada mes creo un punto de restauracion pensando en casos como este.


suerte saludos

gracias por tu truco gothjavier, tomo nota y si alguna vez vuelvo a tener un virus, lo probaré


salu2

_________________________________________________

si , tienes que usar las herramientas de Sysinternals una a una mejor


salu2

Buen aporte !!

muy bueno sigan asi
saludos!!!

gracias por tu aporte, me parece muy bien cuidar la salud e integridad de nuestras compus,
no se donde escuche q los nuevos virus tardan un tiempo en ser detectados ya q primero deben infectar varias maquinas
y ser analizados por los encargados de desarrollar los antidotos
saludos

Buen aporte Arwen, descargue una de sus harramientas y en los procesos encontre el virus wininit.exe, no deja finalizar el proceso, y tampoco se donde encontrarlo. en la unidad donde tengo el sistema operativo encontre dos archivos uno .rnd asi sin nombre y otro BOOTSECT.BAK asi como lo escribi. quiero saber que son estos achivos

gracias a todos los que me ayuden.

Sal2

hola ferth88, el BOOTSECT.BAK es el antiguo sector de boot. Puedes eliminarlo si quieres.

en cuanto a wininit.exe, es otro proceso de Windows Vista ( supongo que es tu sistema operativo ya que el anterior archivo tambien sugiere que has actualizado de XP a Vista ) si esta ubicado en C:\Windows\System32 NO es un virus .


salu2

muy buen post..pero tampoco perder la idea del tema
detectar, eliminarlo y no dejar huella
+sugiero tambien lean

buen animo en seguir escribiendo arwen

ahora tambien cuando tienes "virus"
dejan de funcionar bien los programas,


por lo cual siempre es necesario tener un AZ bajo la manga..
(estoy hablando por ejemplo en casos de virus sality o parite entre otros)


la mejor solucion siempre es saber lo que se hace..y sobre que archivo.

Grande Apuro, bueno verte nuevamente

<br /><br /><br /><br /><br />Mi blog <br /><br />#######[CrackSLatinoS FoR EveR]#######

Gracias por matarme la duda
Salu2

chido esto si sirve grasisas

muy buen aporte sigue asiiii una saludo =)

Buenas, soy nuevo en el foro con cierta experiencia limitada en analisis forense. Respecto al tutorial, y siempre desde el respeto, decir que no es muy correcto utilizar el administrador de tareas para detectar posibles viruts/troyanos. Lo mas correcto seria utilizar ProcMon y FileMon de sysinternals.

Ciertos tipos de troyanos son capaces de no aparecer en el admin de tareas de windows, y lo que nos permiten estos ejecutables es:

ProcMon: Muestra todos los ejecutables que corren en el sistema ordenados por tipo de ejecucion
FileMon: Muestra todas las escrituras en disco que realizan los procesos. Por definicion, un troyano siempre va a terminar escribiendo algo en el disco, y este programita es muy muy util para ver que es lo que hacen nuestros procesos.

Un saludo.

Gracias por el aporte, soy nuevo y he tenido algunos problemillas con mi maquina, espero con todo esto vaya mejorando, saludos.

buen aporte arwen!! que groso, algo mas para sumar para aprender jeje =)

gracias men!!! ;D
O0

HOla a todos del foro, tengo un problema con un virus, k se me pego en el usb y haci lo lleve a mi computadora de mi casa, "no tengo internet", y haci se infecto mi pc, lo que hace este virus es crear carpetas con el mismo nombre k las k ya existen en la pc, pero con extencion .exe, otro caracteristica es k cuando abro el administrador de procesos , este virus no me lo deja, y lo minimiza y no deja maximizarlo denuevo. si Alguien sabe como se llama este virus, y como eliminarlo y borrar todo rastro de este virus de la Pc, se lo agradeceria muxo


por cierto, este foro esta de 10

para Arwen,o para kien sepa esto : le agradeceria muxo si explica como usar cada icono del programa k puso para detectar virus, cito: "Para ello deberás volver al paso 1 ( detectar ) y encontrar el archivo principal del virus con la ayuda de utilidades como SysinternalsSuite . " me gustaria como usar este programa, cuando lo abri , hay varios iconos , con nombres raros, y seria de gran utilidad saber para k sirve cada uno, o mejor aun, cuales son los mas utiles para detectar y/o eliminar el virus, se le agradece la respuesta

hola como estan? buenicimo el tuto la berdad me ayuda mucho a mi que en recien estoy metiendole pata a esto y no se mucho de nada pero no me dejo de sorprender y como aprendo mas cada ves que entro en el foro. esto le va a servir de mucho a mucha gente la berdad buenicimo saludos O0

hola amigo, siento no haber leido antes tu problema, pero estaba de vacaciones :P


yo en tu lugar, usaria un programa llamado Flash Disinfector , que puedes descargar desde aqui -->

# Ejecuta Flash_Disinfector.exe
# Aparece un mensaje, confirma con OK
# Esperamos unos segundos…
# Reiniciamos el PC.



Otra opcion seria usar Penclean , que puedes descargar desde aqui -->

2. Ejecutamos el programa
3. Elegimos el dispositivo USB
4. Seleccionar la opción de Verificar Computador o Verificar Unidad y después a Verificar



Por lo general para evitar infecciones en nuestros dispositivos externos es conveniente realizar un análisis completo de todas las unidades, incluidas las externas.

La mayoría de los antivirus en el mercado nos permitirán analizar este tipo de dispositivos pero por no conocer los programas que tenemos instalados en nuestros equipos no solemos hacerlo .....


Solo tienes que conocer un poco más tu antivirus, esos 10 minutos que le dediques un día puede hacer que no perdamos toda nuestra informacion del PC

espero que te sirva de ayuda, salu2

_________________________________________________

cada una de las utilidades de SysInternals sirven para algo en concreto; para mas informacion ve a la pagina de Microsoft , que explica las utilidades que contiene y para que sirven -->



espero haberte ayudado, salu2