x
Hoy ha ocurrido que es la enésima vez que algún conocido gracias a su "inexperiencia" ejecuta archivos que son recibidos por MSN, los típicos mensajes de "mira mi foto", "escucha esta nueva canción", mismos que contienen archivos con algún tipo de malware que están hechos para molestar nuestra existencia. Para no hacer más largo el cuento está ocasión tuve resultados más satisfactorios; para cumplir con el cometido lo que hice fue, antes de nada cerrar la sesión de Messenger para evitar seguir enviando los mensajes "malignos".
Luego, buscar por procesos extraños que se estén ejecutando. Para esto no es suficiente con el Administrador de Tareas de Windows pues no nos muestra suficiente información. Entre muchas alternativas, existe una aplicación libre que se llama Process Hacker.
 |
| Process Hacker |
 |
| Detalle de procesos en Process Hacker |
La aplicación puede ser descargada desde su página oficial http://processhacker.sourceforge.net/
Además de eliminar las aplicaciones no deseadas, en mi caso fueron dos, llamadas Softiwin.exe y Home.exe; debemos eliminar las entradas que se crean para que las aplicaciones se ejecuten automáticamente al inicio de Windows. Para esto abrimos la consola de administración, en Inicio seleccionamos la opción Ejecutar y ejecutamos el comando msconfig.msc.
 |
| Utilidad de configuración del sistema (msconfig) |
En esta ventana podremos ver en la pestaña Inicio todas las aplicaciones que se ejecutan al inicio de Windows y podremos desactivar las entradas no deseadas. Al Aceptar los cambios se solicitará un reinicio del sistema que podemos postergarlo o realizarlo en el momento.
Estos pasos además pueden ser fortalecidos con el uso de herramientas de eliminación de spyware. Existen herramientas orientadas exclusivamente a Messenger como LiveKill o MSN Virus Cleaner que en mi caso no encontraron nada luego de haber realizado los pasos anteriores. Para más información pueden visitar la dirección de Borrar virus MSN Messenger la eliminacion completa.
Una herramienta que también está orientada a la eliminación de malware es Malwarebytes e incluso en su versión libre permite realizar un escaneo profundo de nuestros discos y Registro de Windows; ésta herramienta puede ser descargada desde http://www.malwarebytes.org/.
Aún con la herramienta anterior, persistía la molestia de no poder cambiar la página de inicio de los exploradores (Internet Explorer, Firefox y Chrome), que había sido cambiada a una página conocida por la distribución de spyware y aún después de establecer manualmente mi página de inicio está era cambiada en cada reinicio del computador.
Para IE no hubo mayor problema pues existe otra herramienta que nos ayuda a cambiar las entradas del registro asociadas y nos facilita la vida; esta herramienta RegUnlocker que puede ser descargada desde aquí o desde el sitio de su autor http://www.codehard.com.ar/regunlocker.
En este programa lo que hacemos es chequear las opciones que deseamos se ejecuten y dar clic en Unlock.
Para los exploradores Firefox y Chrome no encontré algo automatizado y hubo que hacerlo manualmente. Para Firefox nos dirijimos en el Explorador de Windows hacia la dirección %appdata%\mozilla\firefox\profiles; dentro de esta carpeta encontramos otra carpeta a la que debemos abrir. Dentro de la última carpeta encontraremos un archivo con el nombre prefs.js,
Primero verificamos que este archivo no tenga chequeado la opción de Solo Lectura en sus propiedades; ésto es haciendo clic derecho en el archivo y seleccionando la opción Propiedades.
Luego abrimos el archivo con un editor de texto y buscamos la línea:
user_pref("browser.startup.homepage", "pagina_inicio");
Donde pagina_inicio corresponde a la dirección completa de nuestra página de inicio, en mi caso http://www.google.com, con lo cual la línea quedaría así:
user_pref("browser.startup.homepage", "http://www.google.com");
Finalmente guardamos los cambios y cerramos el archivo.
Para el caso de Chrome es algo parecido, pero la ubicación del archivo es:
%homedrive%\%homepath%\Configuración local\Datos de programa\Google\Chrome\user data\default\
La dirección puede cambiar a
%homedrive%\%homepath%\Local configuration\Program Data\Google\Chrome\user data\default\
dependiendo del lenguage del sistema operativo instalado.
Dentro de este directorio ubicamos el archivo Preferences
Igualmente verificamos los permisos de escritura de éste archivo y lo abrimos con un editor de texto. Ubicamos la línea:
"homepage": "pagina_inicio",
Donde pagina_inicio corresponde a la dirección completa de nuestra página de inicio, que nuevamente en mi caso es http://www.google.com, con lo cual la línea quedaría así:
"homepage": "http://www.google.com",
Finalmente guardamos los cambios y cerramos el archivo.
Con los pasos descritos lo que se ha hecho es eliminar las aplicaciones malware que se distribuyen usando la red de Messenger y además eliminar las restricciones que estás inyectan en ciertas opciones de Windows y de los exploradores web.
Estos pasos además pueden ser fortalecidos con el uso de herramientas de eliminación de spyware. Existen herramientas orientadas exclusivamente a Messenger como LiveKill o MSN Virus Cleaner que en mi caso no encontraron nada luego de haber realizado los pasos anteriores. Para más información pueden visitar la dirección de Borrar virus MSN Messenger la eliminacion completa.
Una herramienta que también está orientada a la eliminación de malware es Malwarebytes e incluso en su versión libre permite realizar un escaneo profundo de nuestros discos y Registro de Windows; ésta herramienta puede ser descargada desde http://www.malwarebytes.org/.
 |
| Ventana principal de Malwarebytes |
Para IE no hubo mayor problema pues existe otra herramienta que nos ayuda a cambiar las entradas del registro asociadas y nos facilita la vida; esta herramienta RegUnlocker que puede ser descargada desde aquí o desde el sitio de su autor http://www.codehard.com.ar/regunlocker.
 |
| Ventana principal de RegUnlocker |
En este programa lo que hacemos es chequear las opciones que deseamos se ejecuten y dar clic en Unlock.
Para los exploradores Firefox y Chrome no encontré algo automatizado y hubo que hacerlo manualmente. Para Firefox nos dirijimos en el Explorador de Windows hacia la dirección %appdata%\mozilla\firefox\profiles; dentro de esta carpeta encontramos otra carpeta a la que debemos abrir. Dentro de la última carpeta encontraremos un archivo con el nombre prefs.js,
 |
| Archivo de configuración de Firefox |
Primero verificamos que este archivo no tenga chequeado la opción de Solo Lectura en sus propiedades; ésto es haciendo clic derecho en el archivo y seleccionando la opción Propiedades.
Luego abrimos el archivo con un editor de texto y buscamos la línea:
user_pref("browser.startup.homepage", "pagina_inicio");
Donde pagina_inicio corresponde a la dirección completa de nuestra página de inicio, en mi caso http://www.google.com, con lo cual la línea quedaría así:
user_pref("browser.startup.homepage", "http://www.google.com");
Finalmente guardamos los cambios y cerramos el archivo.
Para el caso de Chrome es algo parecido, pero la ubicación del archivo es:
%homedrive%\%homepath%\Configuración local\Datos de programa\Google\Chrome\user data\default\
La dirección puede cambiar a
%homedrive%\%homepath%\Local configuration\Program Data\Google\Chrome\user data\default\
dependiendo del lenguage del sistema operativo instalado.
Dentro de este directorio ubicamos el archivo Preferences
 |
| Archivo de configuración de Chrome |
"homepage": "pagina_inicio",
Donde pagina_inicio corresponde a la dirección completa de nuestra página de inicio, que nuevamente en mi caso es http://www.google.com, con lo cual la línea quedaría así:
"homepage": "http://www.google.com",
Finalmente guardamos los cambios y cerramos el archivo.
Con los pasos descritos lo que se ha hecho es eliminar las aplicaciones malware que se distribuyen usando la red de Messenger y además eliminar las restricciones que estás inyectan en ciertas opciones de Windows y de los exploradores web.
0 comentarios:
Publicar un comentario