Guía para desinfección y detección de malware

AikonCWD

Información

Bueno, no sé ni como empezar xdd. No voy a extenderme demasiado, a raíz de un hilo reflotado del 2016 me he visto con el deber de actualizar la información y escribir un hilo algo más completo y actualizado. La misión de este thread es ofrecer un listado de herramientas y procedimientos que suelo emplear a la hora de limpiar un equipo de virus, troyanos y malware en general.

Listado de herramientas

Desinfección automática

  • RKill
    • Detecta malware activo y lo finaliza para desbloquear temporalmente el sistema. Te permite desbloquear el PC y descargar/usar otras herramientas de desinfección
  • Malwarebytes
    • Antivirus de pago, pero en esta guía nos vale su versión gratuita o trial-30day. Es el que mayor índice de detección tiene ya que compró e integró los sistemas de JRT y ADWCleaner. Una joya
  • AdwCleaner
    • La navaja suiza contra todo tipo de malware, detecta prácticamente todo y lo elimina de forma eficiente
  • HitmanPro
    • El gran desconocido. Es un antivirus "de segunda opinión". Utiliza internamente los motores de Bitdefender y Kaspersky tanto para detectar como para eliminar malware, es un servicio que funciona en la nube. Ideal para utilizar al final del proceso de limpieza y asegurarse de que todo está limpio
  • ComboFix (only Win 7)
    • Fue el mejor, ahora ha quedado en el olvido. No funciona en Win 8.1 ni Win 10. Lo dejo en el listado ya que podría servir para aquellos usuarios que no han migrado a Windows 10

Desinfección manual

  • HijackThis
    • Comprado por TrendMicro, es una utilidad que lista todas las entradas susceptibles de ser utilizadas para esconder y auto-ejecutar malware en tu sistema. Hay que utilizar la herramienta con conocimiento y cuidado.
  • ProcessMonitor
    • Permite monitorizar prácticamente cualquier actividad que suceda en tu sistema, tanto a nivel de datos/discos, como registro, internet, etc... Se utiliza de forma puntual para conocer el comportamiento y las acciones que hace un proceso.
  • Autoruns
    • Similar a HijackThis, pero mucho más amigable y sencillo de utilizar. Permite conocer qué se auto-ejecuta en tu PC, permitiendo mejorar el rendimiento o desactivar malware. Lo mejor es su integración con VirusTotal
  • ProcessExplorer
    • Es como el Administrador de Tareas de Windows, pero infinitamente mejor. De hecho se puede sustituir el de Windows por éste. Se integra también con VirusTotal y es una pasada

Limpieza Sistema

  • Revo
    • Permite desinstalar a saco cualquier programa instalado, además se asegura de limpiar cualquier resto temporal que no haya eliminado el "uninstall" oficial.
  • RegSeeker
    • Originalmente era una utilidad para limpiar claves del registro, ahora lo han vitaminado e incluye diferentes opciones para limpiar el sistema y liberar espacio. Similar a CCleaner pero sin ser tan intrusivo.
  • TFC Cleaner
    • Un ligero y pequeño liberador de espacio, multi-usuario. Limpia y elimina cualquier fichero temporal. Lo utilizo casi a diario para el mantenimiento de mis servidores y equipos.

Network Related

  • TCPView
    • Permite ver de forma fácil qué procesos tienen conexiones (locales o de internet). Permite diagnosticar si tenemos lentitud en nuestra conexión por culpa de algún proceso que se esté conectando cuando no debe.
  • NetAdapter Repair
    • Una herramienta automatizada, ayuda a limpiar y resetear toda la configuración relacionada con la red. Soluciona errores de desconexión de tu tarjeta de red y deja sus valores de fabrica.
  • Netsh Script
    • Sencillo comando de Windows que te permite resetear el stack TCPI/IP y Winsock. Muchos malwares interceptan tu conexión y te dejan sin internet cuando los eliminas. Éste script desbloqueará ese bloqueo. Viene incluido en NetAdapter Repair

Anti-Rootkits

  • GMer
    • Herramienta avanzada para la detección y eliminación de rootkits. Es una herramienta para usuarios avanzados. Es capaz de detectar malware oculto al FileSystem, claves de registro ocultas a Regedit y procesos ocultos al TaskManager. También detecta inyección de drivers e inyección de código en procesos remotos.

Prevención

  • SpywareBlaster
    • Esta herramienta permite instalar un conjunto de reglas y bloqueos para dominios y servidores conocidos de instalar malware. De esta forma si por error caemos en alguna web similar, el navegador no cargará su contenido y el malware no se instalará.
  • Unchecky
    • Bloquea automáticamente el malware que viene pre-activado en muchos instaladores de software legítimo. El típico setup que si le das a "siguiente, siguiente" termina instalando Adware. Con este programa evitaremos caer en esta trampa. Herramienta ideal para instalar en los equipos de nuestros amigos y familiares que siempre terminan infectados por error.

Procedimiento para desinfectar

Hay que aclarar que no existe un solo procedimiento para todos los casos, ni tampoco un método más correcto/efectivo que otro. Cuando tengo delante un equipo infectado y tengo tiempo/curiosidad por conocer el virus, me gusta utilizar métodos manuales. Cuando tengo prisa simplemente uso métodos más automáticos para limpiar cualquier malware de golpe.

Procedimiento Automático (más fácil)

  1. Empezaremos utilizando siempre RKill, es muy común que no podamos ejecutar nuestro antivirus/antimalware si el virus está activo, muchos virus te cierran o bloquean las herramientas de desinfección. Por eso es importante empezar el proceso usando RKill. Saldrá un report si ha detectado algo. No reiniciar el PC tras utilizar esta herramienta, ya que el desbloqueo solo es temporal hasta el próximo reinicio
  1. Con el sistema desbloqueado, ejecutamos AdwCleaner. Es un proceso bastante rápido. Nunca he visto ni un falso positivo en esta tool, así que marcaremos todas las detecciones para limpiar/borrar. La propia herramienta nos forzará reiniciar el PC al finalizar. Lo hacemos

  1. Comprobamos si el sistema está limpio. Lo normal es empezar una limpieza porque hemos notado algo raro (publicidad, etc...), ahora tocará revisar si esa publicidad (o lo que sea) se ha ido. Si los síntomas persisten continuamos con el siguiente paso:
    • Instalamos Malwarebytes en versión de prueba y realizamos un scan completo del sistema. Es un proceso que demorará más tiempo, pero nos asegura que se limpie cualquier rastro que AdwCleaner no haya podido limpiar.
  1. Finalmente usaremos HitmanPro, lo activaremos en versión de prueba, sin instalar, y haremos un examen completo. No debería detectar nada gordo, quizás algún PUP inofensivo. Limpiamos y reiniciamos.

  1. Llegados a este punto el sistema debería estar limpio, de no ser así tocará hacer acciones algo más avanzadas. Posiblemente nos encontremos ante un malware oculto con un rootkit. En mis años trabajando en el mundillo, sólo me he encontrado 3 equipos infectado con rootkits. Es algo poco común y sofisticado. Para ello usaremos GMer, realizaremos un scan y comprobaremos si hay presencia de rootkits en nuestro sistema, de ser así deja un mensaje en éste hilo citándome para que le podamos echar un ojo.

Tratar un rootkit normalmente requiere de cautela, conocimientos, paciencia y tiempo, ya que suelen ser infecciones con muchas particularidades como para tratarlo en una guía genérica como ésta.


Procedimiento Manual (más complicado)

El procedimiento manual es más complejo y no se podrá aplicar siempre en todos los casos. Yo lo utilizo cuando tengo un malware que me provoca "algo" que puedo utilizar para investigar y tirar del hilo. Pongo un ejemplo:

Imaginemos que tenemos un malware que crea logs con nuestras pulsaciones de teclado (keylogger), o un malware que ejecuta el chrome para mostrarnos publicidad, o que crea una carpeta con un nombre específico... Podemos usar esas acciones del malware para encontrar el proceso culpable, destriparlo y desinfectar el sistema.

  1. Utilizaremos principalmente ProcessMonitor y sus filtros. Con este programa podemos ver todo lo que ocurre en nuestro sistema. Tendremos que poner el nombre de esa carpeta, fichero (o lo que sea que haga el malware) y filtrar, así conoceremos el malware culpable que realiza dicha acción. Imaginemos que el malware nos crea un fichero llamado archivo123.txt, entonces realizaremos lo siguiente:

Dejamos tiempo para que el malware haga sus acciones y en breves veremos eventos que coincidan con ese filtro:

Bingo! tenemos que el proceso notepad.exe ha creado, abierto y escrito en el fichero. Esto lo podemos utilizar no solo para eventos de disco, también para cambios y acceso en el registro o conexiones de internet. Es una herramienta muy poderosa y útil.

  1. Otra opción que tenemos es utilizar HijackThis, éste programa nos permite analizar todo el sistema y conocer qué se auto-ejecuta al arrancar el PC, pudiendo marcar aquello que sea malware para eliminarlo. Ojo! No hay que marcar todo lo que aparece, ya que HijackThis no diferencia entre software legítimo o malware, él lo muestra todo y nosotros debemos decidir qué borrar. Es muy útil para utilizar antes y después de ejecutar malware, para ver las diferencias y los cambios que ha provocado en el sistema. Es muy común subir el log de HijackThis en www.pastebin.com para que un usuario experto lo pueda analizar por nosotros.

  1. Finalmente llega el turno de Autoruns y ProcessExplorer. Lo bueno de estas 2 herramientas es que podemos comparar los resultados con la base de datos VirusTotal, simplemente hay que activar la opción correspondiente en el menú superior "options". Con Autoruns podemos ver lo que se auto-ejecuta en nuestro PC y con ProcessExplorer vemos lo que se está ejecutando actualmente. Comparando lo que tenemos activo con los resultados de VirusTotal, podemos detectar y descubrir malware que se auto-ejecuta o se ejecuta en nuestro PC.


Prevención de futuras infecciones

Es bueno ser precavido y aplicar cualquier vacuna o protección que nos evite la descarga de un futuro malware, para ello utilizo estos 2 programas: SpywareBlaster y Unchecky.

El primero de ellos, en su versión free, nos permitirá instalar un listado enorme de exclusiones en nuestro navegador que bloqueará los dominios que instalan malware. Simplemente instalar, ejecutar, aplicar las protecciones y desinstalar el software:

Luego tenemos Unchecky, un pequeño software que se instala y monitorea cualquier setup que venga con "regalito" en forma de adware. Es muy común descargar un software legítimo e instalarlo rápidamente pulsando el botón siguiente sin darnos cuenta que a veces permitimos la instalación de malware. Este programa monitorizará esos setups y desmarcará automáticamente esos checkbox que permiten la instalación de malware:

Este programa es ideal instalarlo en el PC de nuestros familiares y amigos que son un poco manazas, si eres un usuario mínimamente cuidadoso a la hora de instalar software, puedes ahorrar la instalación de esta herramienta.


Recomendaciones del autor: Firefox > Chrome

Para terminar con el thread, os recomendaría utilizar Firefox en lugar de Chrome. Han salido noticias informando que próximamente Chrome bloqueará los add-ons tipo AdBlock y uBlock, permitiendo así que la publicidad de la web nos invada. En la noticia está mejor detallado, hablan también de solo permitir bloqueadores más "pequeños", que solo bloqueen alguna publicidad pero no toda.

A parte de este motivo, Firefox integra un bloqueador de criptomonedas que mantendrá los recursos de tu PC a salvo mientras navegamos por webs que implementen dichas practicas abusivas. Os lo muestro en una imagen:

Para quién quiera migrar de Chrome a Firefox sin perder sus favoritos, passwords... hay una herramienta oficial que te permite migrar cómodamente. Además al crearos una cuenta Firefox para sincronizar vuestros marcadores en la nube, podréis hacer uso de Firefox Send, un servicio genial y rápido para compartir ficheros grandes.

No hace falta ni recordar que instaléis el addon uBlock en vuestro navegador. Navegaréis más rápidos, seguros y sin publicidad.

Despedida

Bueno esto es todo, no es fácil plasmar en texto algo tan dinámico como es la detección y eliminación de malware, lo he hecho lo mejor que he sabido. Seguro que me dejo cosas por contar que estaré encantado de añadir a medida que me vayáis avisando y pasando info.

Si alguien termina infectado de malware, y tras leer y aplicar la guía ha sido incapaz de solucionarlo, puede realizar un log de HiJackThis, subirlo a pastebin.com y pasar el link por aquí. Yo y otros tantos usuarios estaremos encantados de revisar ese log a ver si entre todos podemos ayudar a desinfectar ese equipo.

Para estar siempre informados sobre noticias de seguridad informática, relacionadas principalmente con el mundo del malware, recomiendo la web https://www.bleepingcomputer.com/

326
DarKalibula

first

edit: dejaré aquí el first para siempre, para que se note que ha sido algo histórico.

Ontopic: @AikonCWD gracias tio por el curro, a eliminar basura toca.:metal:

3
hda

5 6 7 8

zenthor

Pole?

Edit: Nop, me adelantaron hahaha, a sido un hilo epico!

Channie

Fuck

AikonCWD

qué rápido leéis

laZAr0

#1 He hecho todo lo de la guía y ahora cuando le doy a "preparar cena" o "preparar comida" me salen los nombres de los platos en gris, y no puedo pinchar en ellos. Tengo el frigorífico lleno y mis Sims sólo pueden comer "algo rápido", ¿qué mierda has hecho tío? ¿cómo lo arreglo?

1
ESL_Kaiser

puto amo

1 1 respuesta
XarevoK

Por fin joder, a limpiar nuestros putos pesés!!

Grise

Leído.

Sheraph

Epic thread is epic

Oso_

La viiiirgen! a desinfectar

dZ

Didn't read lol. Gracias por la guía crack.

1
Kayder

Ya noto como el PC me va más deprisa y eso que ni me leí el post... ni estoy en el PC...

26
Sylvarant

here we go!

hda

#8 jajjajaja

arkoni

siiiiii vmoasSSSS xD

XarevoK

tirano

Satisfecho.

3
Leos

Después de seguir la guía conseguí que mi Commodore 64 tiré the witcher 3 en ultra

6
Krosita

Has superado mis expectativas, nora.

hda

¿20 favs en 5 minutos desde su creación? Clap, clap.

Kb

Todo hecho... Formateando ahora

s3niK

tienes mi love!

HeXaN

He desinfectado mi PC y ahora el pato de mi avatar corre en vez de andar.

9
XarevoK

Acabo de hacer todos los pasos y no se si llegaré a acostumbrarme a tanta rapidez, tengo miedo.

s3niK

Yo lo que tarde en leerlo desde las 00:00 ;)

Proponer para noticia! se lo ha currao!

hda

1 2 3 4

Ac0sT

Wow estupendo aporte :thumbsup:
Gracias por el trabajazo, que el karma sea contigo y te vaya bien con las hormigas :joy:

GaLiaNBeaST

Cierro página

Usuarios habituales

  • AikonCWD
  • Xlonicop
  • Daidum
  • acerty
  • HoRuS
  • HeXaN
  • hda