Dies Irae

Eliminar spyware manualmente

Atención: El método descrito en este artículo requiere la manipulación de herramientas avanzadas de Windows. Si no estás seguro de lo que haces busca ayuda.

Situación: hemos detectado spyware/malware en nuestro sistema y despues de probar algunos programas limpiadores seguimos infectados. Esta situación es bastante común debido a la proliferación de este tipo de software maligno. Normalmente nos damos cuenta del problema cuando abrimos el navegador y somos redireccionados a alguna página de publicidad. Si en ese momento cometemos el error de pulsar cualquier enlace o botón en la página lo más probable es que se instale algún programa que no necesitamos para nada o directamente un spyware que nos castigara aun más con más publicidad. En esta entrada comenté el método que sigo yo para prevenirme.
Si el spyware instalado es silencioso y sólo se dedica a recoger nuestras cookies o nuestro historial de navegación es más difícil de detectar. En este caso un cortafuegos (firewall) nos advertiría de conexiones extrañas y sería una manera de darse cuenta.
Bien, hemos detectado un comportamiento extraño en el navegador, hemos probado algunos programas para limpiar spyware y seguimos igual. Lo primero es intentar saber el nombre del spyware instalado. Si se nos aparece un icono nuevo en la barra de tareas que no se deja cerrar suele aparecer el nombre pasando el ratón sobre él y esperando a que aparezca el hint, la pequeña ventanita de texto que nos indica el nombre del programa. También puede intentarse por el nombre del producto del que nos aparece publicidad. Si encontramos un nombre buscamos en Google si hay información sobre él, lo cual es muy posible. Por ejemplo, se nos aparece publicidad de un programa antivirus llamado TeJoesSiNoTeGusta, abrimos Google y buscamos desinstalar TeJoesSiNoTeGusta spyware. Si damos con alguna página sobre el tema sólo nos quedará seguir los pasos que allá se indiquen o usar el anti-spyware que recomienden. Si aún así no damos con una solución debemos hacerlo nosotros por el método de prueba y error.

Manos a la obra. Si el spyware nos redirecciona la página de apertura del navegador vamos a opciones y lo cambiamos a página en blanco. Cerramos todos los programas que estemos utilizando, incluyendo el navegador y los de la barra de tareas. La mayoría de éstos últimos permiten cerrarlos pulsando sobre su icono con el botón derecho y eligiendo la opción correspondiente en el menú que aparece. Los antivirus suelen ser la excepción a ésto.

winadmin1.jpg A continuación abrimos el Administrador de Tareas de Windows pulsando Ctrl+Alt+Supr (Ctrl+Alt juntas y, sin soltarlas, pulsar Supr). El Administrador de Tareas nos muestra una lista de los procesos que estan activos en nuestro sistema. Los controladores de conexion a internet, el explorador de windows, el gestor de servicios… Normalmente estarán organizados en tres grupos: los procesos de tu cuenta de usuario, los procesos SYSTEM y los procesos SERVICIO LOCAL. Ordena la lista pulsando en Nombre de Usuario para verlo bien. Los procesos SYSTEM pertenecen al núcleo de Windows y algunos no pueden detenerse. En caso de intentarlo aparece un mensaje advirtiéndolo.

Empezamos por los servicios de nuestra cuenta de usuario. Buscamos primero algun proceso con un nombre extraño, del estilo de wwprtgyhh o algo así. Anotamos el nombre, lo marcamos y pulsamos en Terminar proceso.
Esperamos unos segundos por si vuelve a arrancar. Si no es así comprobamos el sistema. ¿Ha desaparecido el icono extraño de la barra de tareas? ¿Abrimos el navegador y ya no aparece la página de publicidad? Si es así es muy probable que lo hayamos cazado. Vamos a Menu de Inicio -> Buscar e intentamos localizarlo en el/los discos duros. Borramos todas las veces que aparezca (pero no vaciamos la papelera de reciclaje). Ahora debemos editar el registro de Windows.

regedit.jpg Accedemos a él mediante Menú de Inicio -> Ejecutar, escribimos regedit y aceptamos. Situamos el cursor al principio y buscamos el nombre del programa. Cada vez que aparezca lo borramos.
registro.jpg También conviene echar un vistazo a los archivos de inicio SYSTEM.INI y WIN.INI que puedes encontrar ejecutando sysedit, y la entrada Inicio de la lista de programas instalados.

En este punto cerramos todo y reiniciamos. Si no dimos en el blanco debemos repetir el proceso. Si hemos probado ya con todos los procesos de tu cuenta y todo sigue igual lo intentamos con los procesos SYSTEM. Si lo localizamos en SYSTEM es probable que el spyware se haya instalado como un servicio del sistema.

services.jpg Para eliminarlo deberemos entrar en Panel de Control -> Rendimiento y mantenimiento -> Herramientas administrativas -> Servicios. Ordenamos la lista por Estado para agrupar los que estan iniciados y buscamos el programa del que sospechamos. Puede tener un nombre distinto al que aparece en el Administrador asi que hay que fijarse en la descripción.

Si lo localizamos le damos a Detener y, en Propiedades -> Tipo de inicio, a Deshabilitado. A continuación repetimos la búsqueda en el disco duro y en el registro de Windows para eliminarlo. Si no nos permite borrarlo es porque al ser un servicio puede haberse arrancado de nuevo, así que reiniciamos. Como establecimos el Tipo de inicio a deshabilitado esta vez no arrancará y podremos borrarlo.
Eso es todo. Es un método largo y pesado pero si no encontramos información precisa sobre cómo hacerlo es la única manera. Recomiendo no vaciar la papelera de reciclaje en unos días ya que si por error hemos eliminado algún programa necesario siempre podemos recuperarlo sin tener que reinstalar nada.

About these ads

7 marzo 2007 - Publicado por | Informática

2 comentarios »

  1. SERVIRA!!! DON´T WORRY BE HAPPY

    Comentario por _ | 5 noviembre 2007 | Responder

  2. buenisimo, lo estare utilizando cada vez que pueda.
    salud

    Comentario por Valentyno | 24 febrero 2011 | Responder


Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: