Autoruns: Eliminar virus del inicio

Hay muchos programas anti-malware que se pueden usar para limpiar el sistema de una.

Hay muchos programas anti-malware que se pueden usar para limpiar el sistema de una que otra infección, pero ¿qué pasa si no es capaz de usar esos programa?. Autoruns, de SysInternals (recientemente adquirida por Microsoft), es indispensable para la eliminación de malware de forma manual.

Hay algunas razones por las que se puede necesitar eliminar virus y spyware manualmente:

01. Tal vez no pueden seguir ejecutando los programas anti-malware hambrientos de recursos.
02. Es posible que tenga que limpiar el ordenador de un familiar (o alguien que no entiende que un gran letrero intermitente en un sitio web que dice “El equipo está infectado con un virus, haga clic aquí para eliminar” no es un mensaje que puede ser necesariamente de confianza)
03. El malware es tan agresivo que se resiste a todo intento de eliminarlo de forma automática, o ni siquiera le permite instalar el software anti-malware
04. Parte de su “credo geek” es la creencia de que las utilidades anti-spyware son para los débiles

Autoruns es una valiosa adición a la caja de herramientas de software de cualquier geek. Permite realizar un seguimiento y control de todos los programas (y los componentes del programa) que se inician automáticamente con Windows (o con Internet Explorer). Prácticamente todo el malware está diseñado para iniciarse automáticamente, así que hay una posibilidad muy fuerte que pueda ser detectado y eliminado con la ayuda de Autoruns.

Autoruns es una herramienta independiente que no necesita ser instalada en su computadora. Puede simplemente descargar, descomprimir y ejecutar. Esto hace que sea ideal para añadir a su colección de programas “Portables” en su unidad flash USB.

Al iniciar Autoruns por primera vez en un equipo, se le presentará el acuerdo de licencia:

autoruns

Después de la aceptación de los términos, la ventana principal de Autoruns se abre, mostrando la lista completa de todo el software que se ejecuta cuando se inicia el equipo, al iniciar la sesión, o cuando se abre Internet Explorer:

autoruns

Para desactivar temporalmente un programa, desactive la casilla junto a él.

Nota: Esto no termina el programa si se está ejecutando en el momento, simplemente evita que se inicie la próxima vez. Para evitar de forma permanente que un programa se inicie, elimine por completo la entrada (utilice la tecla Supr o el botón derecho del mouse y elija Eliminar en el menú contextual).

Nota: Esto no quita el programa de su equipo, para eliminarlo por completo lo que necesita es desinstalar el programa.

Software Sospechoso

Puede tomar un poco de tiempo (experiencia) para convertirse en expertos en identificar lo que es dañino y lo que no. La mayoría de las entradas presentadas en Autoruns son programas legítimos, incluso si sus nombres son desconocidos para ustedes. Éstos son algunos consejos para ayudarle a diferenciar el malware del software legítimo:

01. Si una entrada está firmada digitalmente por un editor de software (es decir, hay una entrada en la columna de Publisher) o tiene una “Descripción”, entonces hay una buena probabilidad de que sea legítimo.
02. Si reconoce el nombre del software. Tenga en cuenta que de vez en cuando el malware puede “suplantar” software legítimo con la adopción de un nombre que es idéntico o similar al software que está familiarizado con (por ejemplo, “AcrobatLauncher” o “PhotoshopBrowser”). Además, tenga en cuenta que muchos programas de software maliciosos adoptan nombres genéricos o inocuos, como “DiskFix” o “SearchHelper” (ambos se mencionan a continuación).
03. Las entradas de malware por lo general aparecen en la ficha de inicio de sesión de Autoruns (pero no siempre!)
04. Si abre la carpeta que contiene el archivo EXE o DLL (más sobre esto más adelante), al examinar la “última modificación” en la fecha, las fechas son a menudo de los últimos días (suponiendo que su infección es bastante reciente)
05. El malware a menudo se encuentra en el directorio C: \ carpeta de Windows o la carpeta C: \ Windows \ System32
06. El malware a menudo sólo tiene un icono genérico (a la izquierda del nombre de la entrada)

En caso de duda, haga clic en la entrada y seleccione Buscar en línea…

La siguiente lista muestra dos entradas sospechosas buscando: DiskFix y SearchHelper

autoruns

Estas entradas son bastante típicas como infecciones de malware:

01. No tienen ni descripciones ni editores
02. Tienen nombres genéricos
03. Los archivos se encuentran en C: \ Windows \ System32
04. Tienen iconos genéricos
05. Los nombres son cadenas de caracteres al azar
06. Si nos fijamos en la carpeta C: \ Windows \ System32 y localizamos los archivos, verá que son algunos de los archivos modificados más recientemente en la carpeta.

autoruns

Hacer doble clic en los items te llevará a sus claves de registro correspondiente:

autoruns

Removiendo el malware

Una vez que hayan identificado las entradas que crean que son sospechosas, tienen que decidir lo que quieren hacer con ellas. Sus opciones incluyen:

01. Desactivar temporalmente la ejecución automática de entrada
02. Eliminar permanentemente la entrada de ejecución automática
03. Localizar el proceso en marcha (usando el Administrador de tareas o mejores) y terminarlo
04. Eliminar el archivo EXE o DLL de su disco (o al menos moverlo a una carpeta en la que no se iniciará automáticamente)
05. O todo lo anterior, dependiendo de cuan seguro está de que el programa es malicioso.

Para ver los cambios Efectuados, tendrá que reiniciar el equipo, y comprobar cualquiera o todo lo siguiente:

01. Autoruns – para ver si la entrada ha vuelto
02. Administrador de tareas (o similar), para ver si el programa se inició de nuevo después del reinicio
03. Comprobar el comportamiento que le llevaron a creer que su PC estaba infectada en primer lugar. Si ya no sucede, es probable que su PC este limpia

Conclusión

Tenga en cuenta que algunos malware son más difíciles de eliminar que otros. A veces se necesita repetir varias veces los pasos anteriores, cada iteración requiere mirar con más cuidado en cada entrada de ejecución automática. A veces, el instante en que se quita la entrada de ejecución automática, el programa malicioso que se ejecuta sustituye la entrada. Cuando esto sucede, tenemos que ser más agresivos en nuestra forma de eliminar el malware, incluyendo la terminación de los programas (incluso programas legítimos como Explorer.exe) que están infectados con malware.

Fuente: Howtogeek

Compartir noticia

Imprimir - Enviar a Email

Autor: Jimmy Cueva - Fecha: 01/02/2011

Noticia sobre: Tutoriales
Comenta este artículo Autoruns: Eliminar virus del inicio

:

: