Pregunta ¿Cómo puedo eliminar spyware, malware, adware, virus, troyanos o rootkits maliciosos de mi PC?


¿Qué debo hacer si mi computadora con Windows parece estar infectada con un virus o malware?

  • ¿Cuáles son los síntomas de una infección?
  • ¿Qué debo hacer después de notar una infección?
  • ¿Qué puedo hacer para deshacerme de eso?
  • ¿Cómo prevenir la infección por malware?

Esta pregunta aparece con frecuencia, y las soluciones sugeridas suelen ser las mismas. Este wiki de la comunidad es un intento de servir como la respuesta definitiva y más completa posible.

Siéntase libre de agregar sus contribuciones a través de ediciones.


431


origen


Una cosa que definitivamente NO debes hacer es instalar cualquiera de las herramientas "antimalware" que se te indiquen cuando accedas a una página web que dice "¡Tu computadora está infectada por un virus!" Es casi seguro que sean malware. Solo debe usar herramientas que estén bien examinadas (presumiblemente) las nombradas a continuación o en otro sitio confiable. - Daniel R Hicks
@Gnoupi Este artículo puede ser de interés maketecheasier.com/... - Simon
Para cualquiera que acaba de llegar a esta pregunta que quiere la versión de tl; dr ... Una vez infectada, no hay forma (bueno ... no hay manera de que no involucre que usted ya sea un ingeniero informático, e invierta algunos años de su vida realizar una autopsia digital en la máquina) para deshacerse de / asegúrese de haber eliminado una infección. El malware puede esconderse en sus archivos, sus programas de aplicación, sus sistemas operativos, firmware ... Por eso nunca debe confiar en una computadora que ha tenido una infección. Los vendedores de antivirus tratarán de convencerlo de que su producto es la bala de plata que arreglará su sistema. Ellos mienten. - Parthian Shot
@DanielRHicks en realidad, en algunos casos conducen a un producto de AV legítimo. La última vez vi esto en Android con su molesta "función de compatibilidad de anuncios incorporada" (las barras de anuncios que aparecen en la parte inferior de la aplicación y las páginas web). Por ejemplo, simplemente hice un "¡eliminar virus!" anuncio y yo aterrizamos en Google Play Store en el 360 Security - Antivirus Boost página de aplicaciones. - David Balažic
Cuando consideramos la posibilidad de los Rootkits Virtuales y los Rootkits de Firmware, entonces podemos decir: Estás deshuesado. Estos dos tipos de Rootkit se guardan en áreas de su computadora que no puede limpiar. Si quieres deshacerte de ellos, debes comprar una computadora nueva. Los rootkits de firmware son raros y los rootkits virtuales aún no existen, pero aún así: la existencia de estos dos rootkits demuestra que no existe una solución 100% funcional que mantenga el malware de su computadora libre para toda la eternidad y más allá. Como alemán lo haría con un "Eierlegende Wollmilchsau" - BlueWizard


Respuestas:


Aquí está la cosa: el malware en los últimos años se ha convertido en ambos sneakier y más desagradable:

Sneakierporque viaja en paquetes. El malware sutil puede esconderse detrás de infecciones más obvias. Hay muchas buenas herramientas enumeradas en las respuestas aquí que pueden encontrar el 99% de malware, pero siempre hay ese 1% que no pueden encontrar todavía. En su mayoría, ese 1% es cosas que son nuevo: las herramientas de malware no pueden encontrarlo porque acaba de salir y está usando una nueva habilidad o técnica para ocultarse que las herramientas aún no conocen.

El malware también tiene una vida útil corta. Si estás infectado, es probable que algo de ese nuevo 1% sea una parte de tu infección No será el todo infección: solo una parte. Las herramientas de seguridad lo ayudarán a encontrar y eliminar el malware más obvio y conocido, y muy probablemente elimine todo lo visible síntomas (porque puedes seguir excavando hasta que llegues tan lejos), pero pueden dejar pequeños fragmentos, como un keylogger o rootkit escondido detrás de un nuevo exploit que la herramienta de seguridad aún no sabe cómo controlar. Las herramientas anti-malware todavía tienen su lugar, pero lo abordaré más adelante.

Nastier, ya que no solo mostrará anuncios, instalará una barra de herramientas o usará su computadora como un zombie nunca más. El malware moderno es probable que vaya bien para la información bancaria o de tarjeta de crédito. La gente que construye este material ya no es solo un script kiddies en busca de fama; ahora son profesionales organizados motivados por lucro, y si no pueden robarte directamente, buscarán alguna cosa ellos pueden dar la vuelta y vender. Puede tratarse de recursos de procesamiento o de red en su computadora, pero también puede ser su número de seguridad social o encriptar sus archivos y retenerlos para obtener un rescate.

Pon estos dos factores juntos, y ya no vale la pena incluso intentar eliminar el malware de un sistema operativo instalado. Solía ​​ser muy bueno para eliminar estas cosas, hasta el punto en que hice una parte importante de mi vida de esa manera, y ya ni siquiera intento hacerlo. No digo que no se pueda hacer, pero estoy diciendo que los resultados del análisis costo / beneficio y riesgo han cambiado: ya no lo vale más. Hay mucho en juego, y es muy fácil obtener resultados que solo parecer ser efectivo.

Muchas personas estarán en desacuerdo conmigo sobre esto, pero desafío que no estén sopesando las consecuencias del fracaso con la suficiente fuerza. ¿Estás dispuesto a apostar los ahorros de tu vida, tu buen crédito, incluso tu identidad, que eres mejor en esto que los ladrones que ganan millones haciéndolo todos los días?  Si intenta eliminar el malware y luego sigue ejecutando el sistema anterior, eso es exactamente que estas haciendo.

Sé que hay personas que leen esto pensando: "Oye, he eliminado varias infecciones de varias máquinas y nunca ha sucedido nada malo". Yo también amigo. Yo también. En días pasados, he limpiado mi parte de sistemas infectados. Sin embargo, sugiero que ahora debemos agregar "todavía" al final de esa declaración. Puede ser 99% efectivo, pero solo tiene que estar equivocado una vez, y las consecuencias de la falla son mucho más altas de lo que alguna vez fueron; el costo de una sola falla puede superar fácilmente a todos los demás éxitos. Puede que incluso tengas una máquina que todavía tiene una bomba de tiempo dentro, esperando a ser activada o para recopilar la información correcta antes de informarla. Incluso si ahora tienes un proceso 100% efectivo, esto cambia todo el tiempo. Recuerde: debe ser perfecto todas las veces; los malos solo tienen que tener suerte una vez.

En resumen, es desafortunado, pero Si usted tiene una infección de malware confirmada, un re-pavimentado completo de la computadora debe ser el primero coloca tu turno en lugar de la última.


He aquí cómo lograr eso:

Antes de que estés infectado, asegúrese de tener una forma de volver a instalar cualquier software comprado, incluido el sistema operativo, que no dependa de nada almacenado en su disco duro interno. Para este propósito, eso normalmente solo significa colgarse de cd / dvds o claves de producto, pero el sistema operativo puede requerir que usted mismo cree discos de recuperación. No confíe en una partición de recuperación para esto. Si espera hasta después de una infección para asegurarse de tener lo que necesita volver a instalar, es posible que vuelva a pagar por el mismo software. Con el auge del ransomware, también es extremadamente importante realizar copias de seguridad periódicas de sus datos (además, ya sabe, cosas no maliciosas habituales como fallas en el disco duro).

Cuando sospechas que tienes malware, mira a otras respuestas aquí. Hay muchas buenas herramientas sugeridas. Mi único problema es la mejor forma de usarlos: solo confío en ellos para la detección. Instale y ejecute la herramienta, pero tan pronto como encuentre evidencia de una infección real (más que solo "cookies de rastreo") solo interrumpa el análisis: la herramienta ha hecho su trabajo y ha confirmado su infección.1

En el momento de una infección confirmada, sigue los siguientes pasos:

  1. Verifique su crédito y cuentas bancarias. Cuando descubras la infección, es posible que ya se haya producido un daño real. Realice los pasos necesarios para proteger sus tarjetas, cuenta bancaria e identidad. Cambia las contraseñas en cualquier sitio web al que accediste desde la computadora comprometida. No use la computadora comprometida para hacer nada de esto. 
  2. Haga una copia de seguridad de sus datos (incluso mejor si ya tiene uno).
  3. Vuelva a instalar el sistema operativo utilizando los discos enviados con la computadora, adquiridos por separado, o el disco de recuperación que debería haber creado cuando la computadora era nueva. Asegúrese de que la reinstalación incluya un nuevo formato completo de su disco; una restauración del sistema o una operación de recuperación del sistema no es suficiente.
  4. Reinstala tus aplicaciones.
  5. Asegúrese de que su sistema operativo y software estén completamente actualizados y actualizados.
  6. Ejecute una exploración antivirus completa para limpiar la copia de seguridad desde el paso dos.
  7. Restaure la copia de seguridad.

Si se realiza correctamente, es probable que tome entre dos y seis horas reales de su tiempo, repartidas en dos o tres días (o incluso más) mientras espera la instalación de aplicaciones, actualizaciones de Windows para descargar o grandes archivos de respaldo. para transferir ... pero es mejor que descubrir más tarde que los delincuentes agotaron su cuenta bancaria. Desafortunadamente, esto es algo que debe hacer usted mismo, o hacer que un amigo de Techy haga por usted. A una tasa de consulta típica de alrededor de $ 100 / h, puede ser más barato comprar una máquina nueva que pagar una tienda para hacer esto. Si un amigo lo hace por usted, haga algo agradable para mostrar su agradecimiento. Incluso geeks a los que les encanta ayudar a configurar cosas nuevas o reparar hardware roto a menudo odio el tedio del trabajo de limpieza. También es mejor si llevas a cabo tu propia copia de seguridad ... tus amigos no sabrán dónde colocas qué archivos, o cuáles son realmente importantes para ti. Estás en una mejor posición para tomar una buena copia de seguridad de lo que son.

Pronto, incluso todo esto puede no ser suficiente, ya que ahora hay malware capaz de infectar el firmware. Incluso la sustitución del disco duro no puede eliminar la infección, y comprar una nueva computadora será la única opción. Afortunadamente, en el momento en que escribo esto todavía no hemos llegado a ese punto, pero definitivamente está en el horizonte y se acerca rápidamente.


Si insistes absolutamente, más allá de toda razón, en que realmente deseas limpiar tu instalación existente en lugar de volver a empezar, entonces, por amor a Dios, asegúrate de que el método que uses incluya uno de los dos procedimientos siguientes:

  • Retire el disco duro y conéctelo como un disco invitado en una computadora diferente (¡limpia!) Para ejecutar el escaneo.

O

  • Arranque desde una llave CD / USB con su propio conjunto de herramientas ejecutando su propio kernel. Asegúrese de obtener la imagen para esto y quemarla en una computadora limpia. Si es necesario, pídale a un amigo que haga el disco por usted.

Bajo ninguna circunstancia debe intentar limpiar un sistema operativo infectado utilizando un software que se ejecuta como un proceso invitado del sistema operativo comprometido. Eso es simplemente tonto.


Por supuesto, la mejor manera de solucionar una infección es evitarla en primer lugar, y hay algunas cosas que puede hacer para ayudar con eso:

  1. Mantenga su sistema parchado. Asegúrese prontamente instale las actualizaciones de Windows, las actualizaciones de Adobe, las actualizaciones de Java, las actualizaciones de Apple, etc. Esto es mucho más importante incluso que el software antivirus, y en su mayor parte no es tan difícil, siempre y cuando se mantenga actualizado. La mayoría de esas empresas se han conformado informalmente con la publicación de parches nuevos el mismo día de cada mes, por lo que si se mantiene actualizado no lo interrumpe con tanta frecuencia. Las interrupciones de la actualización de Windows normalmente solo ocurren cuando las ignoras por mucho tiempo. Si esto te sucede a menudo, está en  para cambiar tu comportamiento Estos son importante.
  2. No se ejecute como administrador por defecto. En versiones recientes de Windows, eso es tan simple como dejar la característica UAC activada.
  3. Use una buena herramienta de firewall. En estos días, el firewall predeterminado en Windows es realmente lo suficientemente bueno. Es posible que desee complementar esta capa con algo como WinPatrol que ayuda a detener la actividad maliciosa en el frente. Windows Defender también funciona en esta capacidad hasta cierto punto. Los complementos básicos del navegador Ad-Blocker también son cada vez más útiles en este nivel como herramienta de seguridad.
  4. Configure la mayoría de los complementos del navegador (especialmente Flash y Java) como "Preguntar para activar".
  5. correr corriente software antivirus. Esta es una quinta parte distante de las otras opciones, ya que el software A / V tradicional a menudo ya no es tan efectivo. También es importante enfatizar la "corriente". Podría tener el mejor software antivirus del mundo, pero si no está actualizado, puede desinstalarlo.

    Por esta razón, actualmente recomiendo Microsoft Security Essentials. (Desde Windows 8, Microsoft Security Essentials es parte de Windows Defender). Es probable que existan mejores motores de exploración, pero Security Essentials se mantendrá actualizado, sin correr el riesgo de un registro caducado. AVG y Avast también funcionan bien de esta manera. Simplemente no puedo recomendar ningún software antivirus que tenga que pagar en realidad, porque es demasiado común que caduque una suscripción paga y termine con definiciones desactualizadas.

    También vale la pena señalar aquí que los usuarios de Mac ahora también necesitan ejecutar un software antivirus. Los días en que podían escaparse sin él han desaparecido. Como un lado, creo que es divertidísimo Ahora debo recomendarles a los usuarios de Mac que compren un software antivirus, pero que aconsejen a los usuarios de Windows que no lo hagan.

  6. Evite sitios de torrents, warez, software pirateado y películas / videos pirateados. Este material a menudo se inyecta con malware por la persona que lo descifró o lo publicó, no siempre, pero con la frecuencia suficiente para evitar todo el desastre. Es parte de por qué un cracker haría esto: a menudo obtendrán un recorte de cualquier ganancia.
  7. Usa tu cabeza cuando navegues por la web. Eres el eslabón más débil de la cadena de seguridad. Si algo suena demasiado bueno para ser verdad, probablemente lo sea. El botón de descarga más obvio rara vez es el que desea utilizar más cuando descarga software nuevo, así que asegúrese de leer y comprender todo en la página web antes de hacer clic en ese enlace. Además, prefiere descargar el software y las actualizaciones / actualizaciones directamente del proveedor o desarrollador en lugar de los sitios web de alojamiento de archivos de terceros.

1 Este es un buen momento para señalar que he suavizado mi enfoque durante el último año. Hoy en día, la mayoría de las "infecciones" caen dentro de la categoría de PUP (Potentially Unwanted Programs) y extensiones de navegador incluidas con otras descargas. A menudo, estos PUP / extensiones se pueden eliminar de manera segura a través de los medios tradicionales. Estos son ahora un porcentaje lo suficientemente grande de malware que puedo detener en este momento y simplemente probar la opción Agregar o quitar programas o la opción normal del navegador para eliminar una extensión. Sin embargo, a la primera señal de algo más profundo, cualquier insinuación de que el software no se desinstalará normalmente, ha vuelto a repavimentar la máquina.


257



Esto parece ser el más sabio, hoy en día, de hecho. Yo agregaría que hay otra razón para que algún malware sea furtivo: permanecerán latentes y usarán su computadora para otras actividades. Podría ser proxy, almacenar cosas más o menos ilegales, o ser parte de un ataque DDOS. - Gnoupi
@ConradFrix Demasiado pronto para decir ... No he necesitado hacer esto para una PC con Windows 8 todavía ... pero soy pesimista porque no da como resultado el formateo de la unidad. Windows 8 incluye varias mejoras de seguridad, incluida la ejecución de software antivirus desde el momento 0 como parte del sistema operativo, de modo que espero no tener que hacer esto para Windows 8 en absoluto. - Joel Coehoorn
@DanielRHicks lee la oración completa. Son de dos a seis horas de su tiempo, repartidas en un día o tres, en las que es eficiente para patear algo y consultar más tarde. Si lo cuida todo, entonces sí: llevará un tiempo. - Joel Coehoorn
@JoelCoehoorn ¿Soy solo yo, o malware, este avanzado también infectaría el firmware en todo tipo de componentes, haciendo inútil cualquier esfuerzo de eliminación? - Enis P. Aginić
Recuerde que si realiza una copia de seguridad DESPUÉS de descubrir la infección, es muy probable que la copia de seguridad esté infectada. Escanee la copia de seguridad antes de intentar una restauración. - Tejas Kale


¿Cómo puedo saber si mi PC está infectada?

Los síntomas generales de malware pueden ser cualquier cosa. Lo usual son:

  • La máquina es más lenta de lo normal.
  • Fallas aleatorias y cosas que suceden cuando no deberían (por ejemplo, algunos virus nuevos imponen restricciones de políticas grupales en su máquina para evitar que el administrador de tareas u otros programas de diagnóstico se ejecuten).
  • El administrador de tareas muestra una CPU alta cuando cree que su máquina debería estar inactiva (por ejemplo, <5%).
  • Anuncios apareciendo al azar.
  • Advertencias de virus que surgen de un antivirus que no recuerdas haber instalado (el programa antivirus es falso e intenta afirmar que tienes virus que suenan de miedo con nombres como 'bankpasswordstealer.vir'. Se te alienta a pagar por este programa para limpiar estos )
  • Ventanas emergentes / falsa pantalla azul de la muerte (BSOD) pidiéndole que llame a un número para reparar la infección.
  • Las páginas de Internet redirigidas o bloqueadas, por ejemplo, las páginas de inicio de productos AV o sitios de soporte (www.symantec.com, www.avg.com, www.microsoft.com) se redirigen a sitios llenos de anuncios o sitios falsos que promocionan falsos anuncios virus / herramientas de eliminación "útiles", o están bloqueadas por completo.
  • Mayor tiempo de inicio, cuando no ha estado instalando ninguna aplicación (o parches) ... Esto es incómodo.
  • Sus archivos personales están encriptados y ve una nota de rescate.
  • Cualquier cosa que pase desapercibida, si "conoces" tu sistema, normalmente sabrás cuando algo está muy mal.

¿Cómo me deshago de esto?

Usando un Live CD

Dado que el escáner de virus de la PC infectada podría verse comprometido, probablemente sea más seguro escanear la unidad desde un Live CD. El CD arrancará un sistema operativo especializado en su computadora, que luego escaneará el disco duro.

Hay, por ejemplo, Sistema de rescate Avira Antivir o ubcd4win. Se pueden encontrar más sugerencias en GRATIS Bootable AntiVirus Rescue CDs Lista de descargas como:

  • CD Kaspersky Rescue
  • CD de Rescate de BitDefender
  • CD de rescate F-Secure
  • Disco de rescate Avira Antivir
  • Trinity Rescue Kit CD
  • AVG Rescue CD

Conectando el disco duro a otra PC

Si está conectando el disco duro infectado a un sistema limpio para escanearlo, asegúrese de actualizar las definiciones de virus para todos los productos que utilizará para escanear la unidad infectada. Esperar una semana a que los proveedores de antivirus publiquen nuevas definiciones de virus puede mejorar sus posibilidades de detectar todos los virus.

Asegúrese de que su sistema infectado permanezca desconectado de Internet tan pronto como descubra que está infectado. Esto evitará que pueda descargar nuevas ediciones de virus (entre otras cosas).

Comience con una buena herramienta como Spybot Search y Destroy o Malwarebytes Anti-Malware y realice un escaneo completo. Intenta también ComboFixy SuperAntiSpyware. Ningún producto antivirus individual tendrá cada definición de virus. Usar múltiples productos es clave (no para protección en tiempo real) Si solo un virus permanece en el sistema, es posible que pueda descargar e instalar todas las últimas ediciones de nuevos virus y todo el esfuerzo hasta ahora hubiera sido en vano.

Eliminar programas sospechosos de inicio

  1. Inicie en modo seguro.
  2. Utilizar msconfig para determinar qué programas y servicios comienzan al arrancar (o iniciar bajo el administrador de tareas en Windows 8).
  3. Si hay programas / servicios sospechosos, elimínelos del arranque. De lo contrario, salte a usar un CD en vivo.
  4. Reiniciar.
  5. Si los síntomas no desaparecen y / o el programa se reemplaza al inicio, intente usar un programa llamado Autoruns para encontrar el programa y eliminarlo de allí. Si su computadora no puede iniciarse, Autoruns tiene una función donde se puede ejecutar desde una segunda PC llamada "Analizar PC fuera de línea". Preste especial atención a la Logon y Scheduled tasks pestañas.
  6. Si aún no hay éxito en la eliminación del programa, y ​​está seguro de que es la causa de sus problemas, inicie en modo normal e instale una herramienta llamada Unlocker
  7. Navega hasta la ubicación del archivo que es ese virus, e intenta usar el desbloqueo para matarlo. Algunas cosas pueden suceder:
    1. El archivo se elimina y no vuelve a aparecer al reiniciar. Este es el mejor caso.
    2. El archivo se elimina, pero vuelve a aparecer inmediatamente. En este caso, use un programa llamado Monitor de proceso para averiguar el programa que volvió a crear el archivo. Tendrá que eliminar ese programa también.
    3. El archivo no se puede eliminar, el desbloqueador le pedirá que lo elimine al reiniciar. Haz eso y mira si reaparece. Si lo hace, debe tener un programa en el arranque que hace que eso suceda, y volver a examinar la lista de programas que se ejecutan en el arranque.

Qué hacer después de restaurar

Ahora debería ser seguro (con suerte) arrancar en su sistema (previamente) infectado. Aún así, mantenga los ojos abiertos para detectar signos de infección. Un virus puede dejar cambios en una computadora que facilitaría la reinfección incluso después de que el virus haya sido eliminado.

Por ejemplo, si un virus cambia la configuración de DNS o proxy, su computadora lo redireccionará a versiones falsas de sitios web legítimos, de modo que la descarga de lo que parece ser un programa conocido y de confianza en realidad podría ser la descarga de un virus.

También pueden obtener sus contraseñas al redirigirlo a sitios falsos de cuentas bancarias o sitios de correo electrónico falsos. Asegúrese de verificar su DNS y la configuración de proxy. En la mayoría de los casos, su DNS debe ser provisto por su ISP o adquirido automáticamente por DHCP. Su configuración de proxy debe estar deshabilitada.

Revisar su hosts archivo (\%systemroot%\system32\drivers\etc\hosts) para cualquier entrada sospechosa y eliminarlos de inmediato. También asegúrese de que su firewall esté habilitado y de que tenga todas las últimas actualizaciones de Windows.

A continuación, proteja su sistema con un buen antivirus y complételo con un producto Anti malware. Microsoft Security Essentials a menudo se recomienda junto con otros productos.

Qué hacer si todo falla

Cabe señalar que algunos programas maliciosos son muy buenos para evitar los escáneres. Es posible que una vez que esté infectado, pueda instalar rootkits o similar para permanecer invisible. Si las cosas son realmente malas, la única opción es borrar el disco y volver a instalar el sistema operativo desde cero. A veces, un escaneo usando GMER o Kaspersky's Asesino de TDSS puede mostrarte si tienes un rootkit.

Es posible que desee hacer algunas ejecuciones de Spybot Search and Destroy. Si después de tres carreras no puede eliminar una infestación (y no lo hace manualmente) considere la posibilidad de volver a instalarla.

Otra sugerencia: Combofix es una herramienta de eliminación muy potente cuando los rootkits evitan que otras cosas se ejecuten o instalen.

El uso de varios motores de detección puede ayudar a encontrar el malware mejor oculto, pero es una tarea difícil y una buena estrategia de copia de seguridad / restauración será más eficiente y segura.


Bonus: hay una interesante serie de videos que comienza con "Comprender y combatir el malware: virus, software espía " con Mark Russinovich, el creador de Sysinternals ProcessExplorer & Autoruns, sobre la limpieza de malware.


197



Limpiar el disco es a menudo la ruta más rápida y segura que se sugiere en todo este sitio como la "mejor respuesta" - Ivo Flipse♦
Desde mi experiencia, no confiaría en spybot como mi primera opción. Avira, la herramienta de eliminación de virus de Kaspersky y AVG son una buena opción libre según AV-comparativo av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/... - fluxtendu
Una sugerencia es que muchos de estos programas de malware hacer robar contraseñas y datos bancarios, por lo que no es una mala idea desconectarse de Internet una vez que sospecha de una infección. Es muy posible que sea demasiado tarde, pero existe la posibilidad de que limite las filtraciones de datos o impida que el malware se actualice solo hasta que tenga éxito en su limpieza. - emgee
@emgee Buena regla general sobre la exfiltración de datos: en caso de duda, sáquelo (el enchufe de Ethernet) - Nate Koppenhaver
Combofix.org no es la ubicación oficial de descarga de Combofix, y no está autorizada ni recomendada por el autor de Combofix. La descarga oficial es aquí. - Andrew Lambert


Hay algunos buenos consejos para combatir el malware en Jeff Atwood's "Cómo limpiar una infestación de software espía de Windows". Este es el proceso básico (asegúrese de leer las capturas de pantalla y otros detalles de este resumen en la publicación del blog):

  1. Detenga cualquier spyware que se esté ejecutando actualmente. El Administrador de Tareas integrado de Windows no lo cortará; obtener Sysinternals Process Explorer.
    1. Ejecute Process Explorer.
    2. Ordene la lista de procesos por nombre de compañía.
    3. Elimine cualquier proceso que no tenga un nombre de empresa (excluyendo DPC, interrupciones, sistema y proceso inactivo del sistema) o que tenga nombres de compañías que no reconozca.
  2. Evite que el spyware se reinicie la próxima vez que se inicie el sistema. De nuevo, la herramienta integrada de Windows, MSconfig, es una solución parcial, pero Sysinternals AutoRuns es la herramienta para usar
    1. Ejecute AutoRuns.
    2. Revisa toda la lista. Desmarque las entradas sospechosas: aquellas con nombres de editor en blanco o cualquier nombre de editor que no reconozca.
  3. Ahora reinicia.
  4. Después de reiniciar, vuelva a verificar con Process Explorer y AutoRuns. Si algo "vuelve", tendrás que cavar más profundo.
    • En el ejemplo de Jeff, algo que regresó fue una entrada de controlador sospechoso en AutoRuns. Él habla a través del seguimiento del proceso que lo cargó en Process Explorer, cerrando el mango y eliminando físicamente el controlador no autorizado.
    • También encontró un archivo DLL con un nombre extraño enganchado al proceso de Winlogon, y demuestra encontrar y matar los hilos de proceso que cargan esa DLL para que AutoRuns finalmente pueda eliminar las entradas.

86



Además, Trend Micro HijackThis es una utilidad gratuita que genera un informe detallado de las configuraciones de registro y archivo de su computadora. Advertiré que esto encuentra cosas buenas y malas, y no hace distinción, pero Google es nuestro amigo si sospechamos. - Umber Ferrule
El enlace Sysinternals Process Explorer está Muerto. Estas respuestas se encuentran en algunos hallazgos principales de Google. ¿Alguien puede actualizar esto con un enlace actualizado? También lo estoy buscando. - Malavos
La ejecución automática es fantástica, pero la sugerencia de confiar en el editor puede no ser útil. Esta pregunta de stackoverflow muestra cómo la información de la versión se puede modificar fácilmente (y por lo tanto, falsificar) [stackoverflow.com/questions/284258/.... Intenté esto en una DLL Java y Autoruns mostró el editor incorrectamente. - AlainD
su enlace de ejecución automática systernals está roto - Daniel


Mi forma de eliminar el malware es efectiva y nunca lo he visto fallar:

  1. Descargar Autoruns y si aún ejecuta 32 bits, descargue un explorador de rootkits.
  2. Arranque en modo seguro y comience Autoruns si puede, luego vaya al paso 5.
  3. Si no puede ingresar al modo seguro, conecte el disco a otra computadora.
  4. Inicie Autorun en esa computadora, vaya a Archivo -> Analizar sistema sin conexión y complételo.
  5. Espere a que se realice el escaneo.
  6. En el menú de Opciones, selecciona todo.
  7. Deje que vuelva a escanear presionando F5. Esto irá rápido ya que las cosas están en caché.
  8. Revise la lista y desmarque todo lo que sea sospechoso o no tenga una empresa verificada.
  9. Opcional: Ejecute el rastreador de rootkit.
  10. Permita que un escáner de virus superior elimine los archivos que quedaron.
  11. Opcional: Ejecute escáneres antimalware y antispyware para deshacerse de basura.
  12. Opcional: Ejecute herramientas como HijackThis / OTL / ComboFix para deshacerse de basura.
  13. Reinicia y disfruta de tu sistema limpio.
  14. Opcional: Ejecute el explorador de rootkit nuevamente.
  15. ¡Asegúrate de que tu computadora esté suficientemente protegida!

Algunas observaciones:

  • Autoruns está escrito por Microsoft y muestra las ubicaciones que se inician automáticamente ...
  • Una vez que el software no está marcado en Autoruns, no se iniciará y no podrá evitar que lo elimine ...
  • No existen rootkits para sistemas operativos de 64 bits porque necesitarían estar firmados ...

Es efectivo porque desactivará el malware / spyware / virus desde el inicio,
usted es libre de ejecutar herramientas opcionales para eliminar cualquier basura que haya quedado en su sistema.


49





Sigue el orden dado a continuación para desinfectar tu PC

  1. En una PC que no esté infectada, haga un disco de arranque AV, luego arranque desde el disco en la PC infectada y escanee el disco duro, elimine cualquier infección que encuentre. Prefiero el Windows Defender fuera de línea CD / USB de arranque porque puede eliminar virus del sector de arranque, ver "Nota" a continuación.

    O bien, puedes probar algunos otros discos de arranque AV.

  2. Después de haber escaneado y eliminado el malware utilizando el disco de arranque, instale gratis MBAM, ejecute el programa y vaya a la pestaña Actualizar y actualícelo, luego vaya a la pestaña Escáner y realice un escaneo rápido, seleccione y elimine todo lo que encuentre.

  3. Cuando termina la instalación de MBAM SAS versión gratuita, ejecute un escaneo rápido, elimine lo que selecciona automáticamente.

  4. Si los archivos del sistema de Windows estaban infectados es posible que necesite ejecutar SFC para reemplazar los archivos, es posible que tengas que hacer esto sin conexión si no arranca debido a la eliminación de los archivos del sistema infectado. Te recomiendo que ejecutes SFC después de que se haya eliminado la infección.

  5. En algunos casos, puede que tenga que ejecutar una reparación de inicio (Windows Vista y Windows7 solamente) para que vuelva a arrancar correctamente. En casos extremos, pueden ser necesarias 3 reparaciones de inicio consecutivas.

MBAM y SAS no son softwares AV como Norton, son escáneres a pedido que solo escanean nasties cuando usted ejecuta el programa y no interfieren con su AV instalado, estos se pueden ejecutar una vez al día o una semana para asegurarse de que no esté infectado. Asegúrese de actualizarlos antes de cada escaneo diario-semanal.

Nota: que el producto sin conexión de Windows Defender es muy bueno para eliminar infecciones persistentes MBR que son comunes en estos días.

.

Para usuarios avanzados:

Si tiene una sola infección que se representa a sí misma como software, es decir, "Solución de sistema" "AV Security 2012", etc. vea esta página para obtener guías de eliminación específicas

.


44



Tener una segunda PC dedicada al escaneo de virus es probablemente la mejor solución, ya que no depende de la unidad infectada para su sistema. Sin embargo, además de las empresas de soporte informático, dudo que muchas personas tengan una solución tan lista. - Gnoupi
Si no hay una PC dedicada disponible, se puede llevar a cabo un procedimiento similar arrancando el sistema con un CD en vivo. - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
por ejemplo: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Solo como una nota Barredor independiente del sistema de Microsoft es solo el viejo nombre de Windows Defender fuera de línea, en caso de que alguien lo encuentre también. - Scott Chamberlain


Si nota alguno de los síntomas, una cosa para verificar es la configuración de DNS en su conexión de red.

Si se han cambiado desde "Obtener la dirección del servidor DNS automáticamente" o desde un servidor diferente del que debería ser, entonces eso es una buena señal de que tiene una infección. Esta será la causa de los redireccionamientos que se alejan de los sitios antimalware, o una falla total para llegar al sitio.

Probablemente sea una buena idea tomar nota de la configuración de su DNS antes de que ocurra una infección para que sepa cuáles deberían ser. Además, los detalles estarán disponibles en las páginas de ayuda del sitio web de su ISP.

Si no tiene una nota de los servidores DNS y no puede encontrar la información en su sitio ISP, entonces el uso de los servidores DNS de Google es una buena alternativa. Se pueden encontrar en 8.8.8.8 y 8.8.4.4 para los servidores primario y secundario, respectivamente.

Si restablecer el DNS no solucionará el problema, le permitirá a) llegar a los sitios antimalware para obtener el software que necesita para limpiar la PC yb) detectar si la infección vuelve a ocurrir ya que la configuración de DNS cambiará nuevamente.


35





Las soluciones posibles para una infección de virus están en orden: (1) escaneos antivirus, (2) reparación del sistema, (3) reinstalación total.

Primero asegúrate de que todos tus datos estén respaldados.

Cargue e instale algunos antivirus, asegúrese de que estén actualizados y escanee profundamente su disco duro. Recomiendo usar al menos Malwarebytes Anti-Malware. También me gusta Avast.

Si eso no funciona por alguna razón, puede usar un escáner de virus de rescate en vivo: me gusta más Sistema de rescate Avira AntiVir porque se actualiza varias veces al día y, por lo tanto, el CD de descarga está actualizado. Como CD de arranque, es autónomo y no funciona con su sistema Windows.

Si no se encuentra ningún virus, use "sfc / scannow" para reparar archivos importantes de Windows.
Mira esto artículo.

Si eso tampoco funciona, deberías Realice una instalación de reparación.

Si nada funciona, debe formatear el disco duro y reinstalar Windows.


31



Cuando me infecté con un virus / troyano reciente, utilicé Knoppix en una memoria USB, ejecuté apt-get wine, instalé Dr Web Cure-It en mi sesión de vinos y lo ejecuté para limpiar mi infección. Tenía que hacerlo de esta manera porque mi computadora portátil no arrancaría algunas de las otras alternativas de CD en vivo. - PP.


Hay una gran variedad de malware. Algo de esto es trivial de encontrar y eliminar. Algo de eso es más complicado. Algo de esto es realmente difícil de encontrar y muy difícil de eliminar.

Pero incluso si tiene un malware leve, debería considerar reformar y volver a instalar el sistema operativo. Esto se debe a que su seguridad ya ha fallado, y si falló por un simple malware, quizás ya esté infectado con un malware malicioso.

Las personas que trabajan con datos confidenciales o redes internas en las que se guardan datos confidenciales deben considerar la posibilidad de borrar y volver a instalar. Las personas cuyo tiempo es valioso deberían considerar la posibilidad de limpiar y volver a instalar (es el método más rápido y sencillo y más seguro). Las personas que no se sienten cómodas con las herramientas avanzadas deberían considerar la posibilidad de limpiar y volver a instalar.

Pero las personas que tienen el tiempo, y disfrutan curiosear, pueden probar los métodos enumerados en otras publicaciones.


30



Correcto. Estas cosas están diseñadas para evitar la seguridad y la limpieza y el uso mundano del sistema operativo. No participes en una carrera de armamentos. La tolerancia cero es la única política. - XTL


Ransomware

Una nueva y particularmente horrible forma de malware es ransomware. Este tipo de programa, generalmente entregado con un troyano (por ejemplo, un archivo adjunto de correo electrónico) o un exploit browser, pasa por los archivos de su computadora, los encripta (los vuelve completamente irreconocibles e inutilizables) y exige un rescate para devolverlos a un uso estado.

Ransomware generalmente utiliza criptografía de clave asimétrica, que implica dos claves: la Llave pública y el llave privada. Cuando te golpea el ransomware, el programa malicioso que se ejecuta en tu computadora se conecta al servidor de los tipos malos (el comando y control, o C & C), que genera ambas claves. Solo envía la clave pública al malware en su computadora, ya que eso es todo lo que necesita para encriptar los archivos. Desafortunadamente, los archivos solo se pueden descifrar con la clave privada, que nunca llega a la memoria de la computadora si el ransomware está bien escrito. Los tipos malos suelen afirmar que te darán la clave privada (lo que te permitirá descifrar tus archivos) si pagas, pero por supuesto debes confiar en que lo haga.

Lo que puedes hacer

La mejor opción es reinstalar el sistema operativo (para eliminar todo rastro de malware) y restaurar sus archivos personales a partir de las copias de seguridad que realizó anteriormente. Si no tiene copias de seguridad ahora, esto será más desafiante. Haga un hábito de hacer copias de seguridad de archivos importantes.

El pago probablemente le permita recuperar sus archivos, pero por favor no lo hagas. Hacerlo apoya su modelo de negocio. Además, digo "probablemente te permita recuperar" porque sé de al menos dos variedades que están tan mal redactadas que irremediablemente destruyen tus archivos; incluso el programa de descifrado correspondiente en realidad no funciona.

Alternativas

Afortunadamente, hay una tercera opción. Muchos desarrolladores de ransomware han cometido errores que permiten a los buenos profesionales de seguridad desarrollar procesos que solucionen el daño. El proceso para hacerlo depende completamente de la tensión del ransomware, y esa lista cambia constantemente. Algunas personas maravillosas han reunido una gran lista de variantes de ransomware, incluidas las extensiones aplicadas a los archivos bloqueados y el nombre de la nota de rescate, que pueden ayudarlo a identificar qué versión tiene. Para algunas cepas, ¡esa lista también tiene un enlace a un descifrador gratuito! Siga las instrucciones adecuadas (los enlaces están en la columna Decryptor) para recuperar sus archivos. Antes de que empieces, use las otras respuestas a esta pregunta para asegurarse de que el programa ransomware se elimine de su computadora.

Si no puede identificar con qué obtiene el golpe solo de las extensiones y el nombre de la nota de rescate, intente buscar algunas frases distintivas de la nota de rescate en Internet. Los errores ortográficos o gramaticales suelen ser bastante únicos, y es probable que encuentre un hilo en el foro que identifique el ransomware.

Si todavía no se conoce su versión, o no tiene una forma gratuita de descifrar los archivos, ¡no pierda la esperanza! Los investigadores de seguridad están trabajando para deshacer el ransomware y la aplicación de la ley persigue a los desarrolladores. Es posible que eventualmente aparezca un descifrador. Si el rescate tiene un límite de tiempo, es posible que sus archivos sigan siendo recuperables cuando se desarrolle el arreglo. Incluso si no es así, no pague a menos que sea absolutamente necesario. Mientras esperas, asegúrate de que tu computadora no contenga malware, usando nuevamente las otras respuestas a esta pregunta. Considere realizar una copia de seguridad de las versiones cifradas de sus archivos para mantenerlos seguros hasta que salga la corrección.

Una vez que recupere tanto como sea posible (¡y realice copias de seguridad en medios externos!), Considere seriamente instalar el sistema operativo desde cero. Una vez más, eso eliminará cualquier malware que se haya alojado en el interior del sistema.

Sugerencias adicionales específicas de la variante

Algunos consejos específicos de ransomware-variant que aún no están en la gran hoja de cálculo:

  • Si la herramienta de descifrado para LeChiffre no funciona, puede recuperar todos menos los primeros 8 KB de los datos de cada archivo con un editor hexadecimal. Salta a la dirección 0x2000 y copia todos excepto los últimos 0x2000 bytes. Los archivos pequeños se arruinarán por completo, pero con algo de manipulación, es posible que pueda obtener algo útil de los más grandes.
  • Si has sido golpeado con WannaCrypt y está ejecutando Windows XP, no se ha reiniciado desde la infección, y tiene suerte, es posible que pueda extraer la clave privada con Wannakey.
  • (Se agregarán otros a medida que se descubran)

Conclusión

Ransomware es desagradable, y la triste realidad es que no siempre es posible recuperarse de eso. Para mantenerte seguro en el futuro:

  • Mantenga su sistema operativo, navegador web y antivirus actualizados
  • No abra archivos adjuntos de correo electrónico que no esperaba, especialmente si no conoce al remitente
  • Evite los sitios web incompletos (es decir, los que presentan contenido ilegal o éticamente dudoso)
  • Asegúrese de que su cuenta solo tenga acceso a los documentos con los que personalmente necesita trabajar
  • Siempre tengo copias de seguridad de trabajo en medios externos (no conectado a su computadora)!

28



Hay algunos programas disponibles que supuestamente lo protegen contra el ransomware, por ejemplo: winpatrol.com/WinAntiRansom (un programa comercial). Nunca he usado esto porque ya no estoy en Windows, pero el producto WinPatrol de esa empresa es uno que utilicé durante años y he recomendado con frecuencia. Algunos de los desarrolladores de antivirus tienen disponibles herramientas anti-ransomware, a veces como una opción de mayor costo. - fixer1234
Para obtener información específica sobre la eliminación de Petya ransomware, también vea esta pregunta y respuesta: superuser.com/questions/1063695/... - fixer1234
Agregaría otra cosa a la lista de consejos en la conclusión: evite visitar sitios que promuevan el comportamiento ilegal o amoral, como la piratería de medios y software; contenido que está prohibido en la mayor parte del mundo; etc. Estos sitios a menudo contratan con el menos proveedores de publicidad de buena reputación, que no hacen ningún esfuerzo real para filtrar el contenido de sus "anuncios", lo que facilita a los delincuentes inyectar su página web con contenido que ofrece malware o intenta explotar su navegador para obtener acceso a su sistema. A veces incluso un buen adblocker extrañará esto. - allquixotic
@allquicatic Agregué un punto en esa línea. Avíseme si se puede expandir algo más. ¡Gracias! - Ben N


Otra herramienta que me gustaría agregar a la discusión es la Escáner de seguridad de Microsoft. Fue lanzado hace unos meses. Es un poco como el Herramienta de eliminación de software malintencionado, pero diseñado para uso fuera de línea. Tendrá las últimas definiciones a partir del momento en que lo descargue y solo se podrá usar durante 10 días, ya que considerará que su archivo de definiciones es "demasiado viejo para usarlo". Descárguelo con otra computadora y ejecútelo en modo seguro. Funciona bastante bien


24





Un poco de teoría primero: por favor, dense cuenta de que no hay sustituto para la comprensión.

El último antivirus Es para entiende lo que estás haciendo y, en general, qué está sucediendo con su sistema, con su propia mente y en la llamada realidad.

Ninguna cantidad de software o hardware lo protegerá completamente de usted y de sus propias acciones, que en la mayoría de los casos es la forma en que el malware entra en un sistema en primer lugar.

La mayoría de los programas maliciosos, adware y spyware de "nivel de producción" dependen de varios trucos de "ingeniería social" para engañarte y te instalan aplicaciones "útiles", complementos, barras de herramientas del navegador, "escáneres de virus" o haz clic en verde Descargar botones que instalarán malware en su máquina.

Incluso un instalador para una aplicación supuestamente de confianza, como p. uTorrent, instalaría por defecto adware y posiblemente spyware si simplemente hace clic en Siguiente botón, y no se tome el tiempo de leer lo que significan todas las casillas de verificación.

La mejor forma de luchar contra los trucos de ingeniería social que utilizan los piratas informáticos es ingeniería social inversa - Si domina esta técnica, podrá evitar la mayoría de los tipos de amenazas y mantener su sistema limpio y saludable incluso sin un antivirus o firewall.

Si ha notado signos de formas de vida maliciosas / no solicitadas que habitan en su sistema, la única solución limpia sería reformatear completamente y volver a instalar su sistema. Realice una copia de seguridad como se describe en otras respuestas aquí, formatee rápidamente los discos y reinstale su sistema, o, mejor aún, mueva los datos útiles a algún almacenamiento externo y vuelva a crear la imagen de la partición del sistema desde un volcado de partición limpio que haya realizado anteriormente.

Algunas computadoras tienen una opción de BIOS para revertir el sistema a la configuración original de fábrica. Incluso si esto puede parecer un poco excesivo, nunca va a doler y, más importante aún, esto resolverá todos los demás problemas eventuales, ya sea que los conozca o no, sin tener que manejar cada problema uno por uno.

La mejor forma de "arreglar" un sistema comprometido es no arreglarlo en absoluto, sino volver a una instantánea conocida como "buena" usando algún tipo de software de imágenes de partición, como Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, o por ejemplo dd si hiciste la copia de seguridad desde Linux.


20