[Tutorial] Procedimientos Básicos para la Eliminacion de Virus - by Smart

Ver el tema anterior Ver el tema siguiente Ir abajo

[Tutorial] Procedimientos Básicos para la Eliminacion de Virus - by Smart

Mensaje por Craphter el Mar Ene 06, 2009 2:33 pm

Procedimientos Basicos para la Eliminacion de Virus - by :: SmartGenius ::

Para el Siguiente Tutorial es necesario que el usuario cuente con conocimientos básicos de programación Batch o al menos use los comandos generales.

El Proceso de Eliminación de Virus en si es algo complicado, aunque varia dependiendo de a que tipo de Malware no estemos enfrentando…

Las Etapas que debemos llevar a cabo son las siguientes:
  1. Detección del Malware
  2. Comprobación del Sistema
  3. Eliminación del Virus
  4. Búsqueda de Residuos
  5. Limpieza del Sistema


Para esto haremos uso de varias herramientas provistas por el mismo WINDOWS que son el Administrador de Tareas, el Editor del Registro y la Consola de Comandos.



En el caso de que por alguna infección estas herramientas estén deshabilitadas usaremos unas especiales:

http://one.xthost.info/smartv2/CUHTools.zip

Y en casos especiales haremos uso de herramientas más avanzadas como HijackThis o ComboFIx, pero no adentraremos mucho en el tema.

Detección

El Malware de todo tipo tiende por lo general a alojarse en las carpetas del sistema (WINDOWS, WINDOWS\system32), facilitando sus labores de infección, otra localización es en carpetas temporales ya sea de usuario (%homepath%, %temp%) o del sistema (%systemroot%\Temp) y en las raíces de los discos duros.

Empecemos entonces por abrir el Administrador de Tareas y revisar la lista de Procesos en busca de algún indicio que nos diga que estamos infectados, un proceso que consume mas memoria de lo normal o con algún nombre raro y que no haya iniciado con SYSTEM.

Marcamos la opción de ver todos los procesos y revisamos cuantos procesos están corriendo en el Sistema recién encendido.



Un sistema en buen funcionamiento debe tener una cantidad de procesos de entre 25 y 35 tomando esta medida cono normal para un usuario cualquiera, si ya se excede de los 40 procesos recién iniciado el Sistema seguro de que no hay algo funcionando correctamente.


Nota: Puede hacerse un listado de los procesos del sistema desde línea de comandos usando TASKLIST


Comprobación del Sistema

Una vez hemos revisado la lista de procesos y llegado a la conclusión de que algo anda mal, deberemos comprobar el Sistema para buscar posibles archivos Maliciosos.

Procedemos a Abrir Mi PC, de allí el Disco Local (C:) que por lo general es la partición del Sistema, si por alguna razón al abrir el disco este se abre en una ventana nueva esto indica que tiene un archivo en AutoEjecución y por consiguiente algún archivo infectado.





Y proceder a Eliminar los archivos de Autoejecucion los cuales corresponden al Autorun.Inf y algún otro archivo ejecutable (.exe, .bat, .cmd) que lo compañe el cual es nombrado en la etiqueta open del autorun.inf
Si esto ultimo es correcto entonces debemos entrar en la partición sin ejecutar el Archivo, para esto expandimos la barra de Dirección y seleccionamos de la lista nuestra Unidad la cual se abrirá en la misma ventana sin ejecutar el AUTORUN.

Open= rqq2v.bat

O hacer un Escaneo con alguna Herramienta automatizada.



Mas Info: http://foro.el-hacker.com/index.php/topic,144270.0.html

Es posible que no podamos ver los archivos que se encuentran en la raiz del Disco, por lo que abriremos la Consola de comandos y escribiremos lo siguiente:

Código:
Cd\
Attrib –r –s –h –a



Y por algunos instantes podremos ver los archivos que se encontraban ocultos y que corresponden al Virus, asi que hacemos este proceso en las otras unidades y borramos manualmente los archivos con el comando DEL



Ahora nos dirigiremos a las Carpetas del Sistema y verificaremos que no existan archivos extraños, de nombres raros o recién creados de los cuales no conozcamos su procedencia.

Los organizamos primero por fecha de creación:




Para esto debemos tener activada la opción de ver archivos ocultos y del Sistema.

Herramientas -> Opciones de Carpetas ->Pestaña Ver



Allí marcaremos la opción de Mostrar todos los archivos y carpetas ocultos, y un poco más abajo desmarcar la opción de “Ocultar archivos protegidos del sistema” al cual le diremos que SI en el mensaje que nos da, luego damos en Aplicar.

Si no notamos ningún cambio o vemos que no han aparecido las carpetas ni los archivos ocultos, nos daremos cuenta de que tenemos un Virus y que ha deshabilitado la opción de ver estos archivos, por lo que tenemos que entrar a modificar el registro.

Las Claves del registro encargadas de estas opciones se encuentran en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\

Bajo las SubClaves HIDDEN y SHOWALL en las cuales debemos de modificar los valores de “CheckedValue



Los cuales son encargados de Habilitar o Deshabilitar estas opciones.


Eliminación:

Una vez que ya tenemos identificados los archivos del virus, debemos proceder a eliminarlos, pero hay que tener en cuenta que algunos de estos corren junto con el explorador de Windows, por lo que primero debemos deshabilitarlo con el siguiente comando:

Código:
Taskkill /f /im Explorer.exe

Y trabajar desde consola, en la cual iremos hasta la carpeta del sistema y ejecutaremos primero un comando para quitarle los atributos a los archivos

Código:
Attrib –r –s –h –a


Y luego los comandos para borrar cada uno de los archivos del virus despues de que hayan sido plenamente identificados...



Una vez hayamos eliminados los archivos del virus podemos reestablecer el explorador de Windows (Explorer.exe) y continuar con la limpieza.

Nota: Es posible que algunos archivos no se dejen borrar porque se encuentran en "USO", por eos es que se cierra el Explorador de Windows, pero aun asi algunos no se dejan borrar por lo que debemos usar una funcion que trae el HijackThis para borrar archivos al Reiniciar o usar la Herramienta Unlocker.

Limpieza

Cuando ya hemos eliminado el virus, procedemos aun por consola a trabajar para reestablecer el acceso a las funciones que fueron deshabilitadas.

Reestablecer el Registro:

Código:
reg delete HKCU\software\microsoft\windows\currentversion\policies\system /v DisableRegistryTools /f


Habilitar el Administrador de tareas

Código:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f


Habilitar el Comando Ejecutar

Código:
reg delete HKCU\software\microsoft\windows\currentversion\policies\explorer /v NoRun /f


Si alguno de los comandos da error es porque la clave de registro no existía, por lo que no estaba deshabilitada.

Una vez que hemos habilitado el registro lo abrimos y nos dirigimos a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run en la cual borraremos las referencias que puedan haber al virus que acabamos de eliminar….este proceso lo podemos hacer también desde la pestaña Inicio de MSCONFIG o con el Scaneo que realiza el HijackThis.

Por ultimo recomiendo usar herramientas de limpieza tipo CCleaner para borrar las claves sobrantes que hayan quedado en el registro o usar HijakcThis para hacer un Escaneo del registro y buscar otras posibles configuraciones. De igual manera recomeindo el Uso de ComboFix para un Scaneo mas a fondo en busca de Malware Conocido y Malas Configuraciones.

Links:
Descargar COMBOFIX - Manual de ComboFix
Descargar HijackThis - Mirror
Malware Removal Tool - by Smart

Si desean algo de ayuda extra o una guía, pueden postear su duda en el foro de Seguridad.


Nota: Este post ha sido sacado de El-Hacker.com y fue creado por un usuario del mismo, llamado :: SmartGenius™️ ::, todo el credito se lo merece el.

Espero que les haya servido.
Saludos
avatar
Craphter
Admin

Masculino
Cantidad de envíos : 141
Edad : 36
Localización : San Martin de los Andes
Fecha de inscripción : 14/12/2008

Ver perfil de usuario http://bl4ck-p0rtal.mihost.info/foro/index.php

Volver arriba Ir abajo

Re: [Tutorial] Procedimientos Básicos para la Eliminacion de Virus - by Smart

Mensaje por Invitado el Mar Ene 06, 2009 3:04 pm

Bueno gracias a SG por la info muy completa y de gran ayuda,
y a vos por traerla para aca...

Saludos...

Invitado
Invitado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.