El día de hoy les traemos la segunda entrega del post de la semana pasada, donde detallábamos cómo deben proceder si fueron víctimas de una infección y no poseían una solución antivirus.

Anteriormente les brindamos un procedimiento básico de como identificar, localizar y posteriormente eliminar dicha amenaza, pero no profundizamos demasiado en qué se debe hacer si el malware posee cualidades de autoprotección.

Servicios bloqueados

Es muy normal que una amenaza realice modificaciones al registro de Windows, no solo para garantizar su posterior ejecución, sino también para evitar ser removido de manera sencilla del sistema. Entre estos servicios, los que suelen ser afectados son:

  • Administrador de Tareas (Task Manager)
  • Registro de Windows (Windows Registry)
  • Utilidad de Configuración de sistema de Windows (MsConfig)
  • Navegadores de Internet (Firefox, Internet Explorer)

De esta forma, la amenaza, limita de forma considerable las posibilidades de que el usuario pueda eliminarla del sistema. Más allá de esto, existen herramientas de análisis automatizado que buscan cualquier incongruencia dentro del registro de Windows y posteriormente las solucionan. Una de ellas, gratuita y de alto rendimiento, es CCleaner, la cual luego de realizar el análisis permite tomar acción sobre cada uno de los problemas encontrados.

También existe la posibilidad de que la amenaza bloquee la ejecución de ciertas aplicaciones, como es CCleaners y otras herramientas de seguridad, por lo que se deberá recurrir, como mencionamos en el post anterior, a un Live CD/DVD/USB.

Alternativa de limpieza

Un Live CD es básicamente un sistema operativo booteable, es decir que se inicia directamente desde una unidad óptica o USB. De esta forma es posible poder analizar el disco duro como a un medio extraíble y así solucionar cualquier problema que afecte al mismo sin preocuparnos por procesos corriendo en memoria o aplicaciones bloqueadas.

ESET ofrece una solución de este tipo denominada ESET SysRescue, la cual es creada desde cualquier solución para Windows de ESET y puede ser utilizada en cualquier equipo.

ESET SysRescue

Para utilizar la misma se debe ingresar el CD/DVD o USB en el equipo y luego se deberá presiona la tecla F8 (o la que corresponda según el BIOS del equipo) para así seleccionar dicha unidad. Esta selección también puede ser realizada desde el Setup del BIOS, cambiando el orden de booteo de las unidades, pero se debe tener en cuenta que luego se deberá restablecer el orden original.

Una vez realizado esto, se iniciará una versión de ESET NOD32 Antivirus la cual nos permitirá analizar el disco como una unidad física externa eliminando cualquier amenaza que allí resida.

Luego se deberá reiniciar el equipo e iniciarla en modo normal, para poder verificar que la amenaza fue eliminada y no quedan rastros de la misma.

Son varias las metodologías que pueden ser utilizadas para solventar un problema de infección, sin la necesidad de formatear el equipo, pero es mejor aún prevenir este tipo de dificultades mediante la utilización de una solución antivirus con detección proactiva como es ESET NOD32 Antivirus.

Joaquín Rodríguez Varela
Malware Lab Engineer