HardSide investiga > Como remover spyware y virus (El informe definitivo)

Página 3

Paso 2:  Detectar y terminar procesos malignos y/o sospechosos

Para realizar este paso se podría usar el Administrador de tareas de Windows (ctrl+alt+del), pero no se los recomiendo para estos casos, por varias razones:

El Task manager incluido en Windows muchas veces es deshabilitado por ciertos malware, al presionar ctrl+alt+del, aparece un cartel diciendo que el "administrador" del sistema restringió esa función. Si bien existe un archivo .reg que modifica el registro para solucionarlo (o también utilizando un tweaker) hay métodos mas prácticos.

Otra de las razones es que el Task Manager que incorpora Windows 95, 98 y ME sólo muestran tareas. No aparecen en la lista los procesos que se ejecutan como servicios. La gran mayoría de los malware funcionan como 'procesos' y no como simples 'tareas' o 'aplicaciones', así que no aparecerán listados y no podremos terminar su ejecución.
En el caso de Windows NT, 2000, XP o 2003 sí se muestran las aplicaciones activas y también, en una solapa separada, los procesos (incluyendo los servicios).

La tercera razón de porqué no conviene utilizar el clásico Administrador de tareas de Windows es porque, estratégicamente ciertos malware lo infectan para asegurarse continuidad y poder seguir con su propagación.
O sea, al presionar Ctrl+Alt+Del estamos ejecutando un virus o troyano, sin siquiera saberlo, ya que el archivo taskmgr.exe fue infectado.
Otros casos que he visto es que el taskmgr.exe no fue infectado, pero sí "parcheado", con el objetivo de ocultar ciertos procesos malignos.

La cuarta razón es que el Task Manager sólo permite 'matar' de a un proceso simultáneamente. En muchos casos, he visto malware que esta formado por 2 y hasta 3 procesos. Un proceso principal y otro (u otros) para volver a ejecutar el proceso principal en caso de que el mismo sea terminado por el usuario. Lo mismo sucede al revés.
Por ejemplo, si cerramos el sospechoso proceso "AdKillerH.exe" podremos notar que al instante, como por arte de magia, vuelve a ejecutarse apareciendo en la lista de procesos activos. Si ordenamos alfabéticamente la lista notaremos que existe un hermano de ese proceso llamado "AdKillerM.exe", si lo cerramos, también volverá a ejecutarse. Es decir, un proceso llama al otro cuando es finalizado y viceversa. Siendo imposible terminar ambos procesos al mismo tiempo.

La quinta y última es que este administrador de tareas, prohibe al usuario (por seguridad e integridad del sistema) cerrar ciertos procesos por nombre (no por identificación), como por ejemplo el winlogon.exe, ya que es de sistema.
El problema radica en que algunos malware aprovechan esta situación y sus programadores nombran al archivo ejecutable winlogon.exe, de manera que cuando lo queremos finalizar, se muestra un mensaje explicando que esto no es posible.

Por todo esto, ya quedó claro que no es para nada recomendable usar el Task Manager de Windows y menos cuando intentamos limpiar malware de una PC.

Las dos opciones que recomiendo son el HijackThis que incluye un manejador de tareas o el Total Commander Reloaded+ o Total Commmander Reloaded+ 2.0 (o su versión Lite).

Para ingresar al manejador de tareas del HijackThis, seguir estos pasos: Clic en el botón "Open the Misc Tools section", clic en "Open Process Manager". Aquí podremos indicar qué procesos finalizar, pero de a uno a la vez. Ese sería el punto flojo.
Dos cosas a favor de este Process Manager son que permite copiar al portapapeles la lista de procesos activos, ideal para copiarla y pegarla en foros sobre spyware o para enviarsela a algún amigo experto en el tema via e-mail o por mensajería instantánea. Otra ventaja es que muestra las DLL's que utiliza cada proceso activo.

Hasta ahora no encontré una mejor opción para terminar procesos que el Task Manager plug-in incluido en el HardSide Total Commander Reloaded+ 1.0, 2.0 y 2.0 Lite (No está incluido en el Total Commander oficial).

Para acceder a él debemos clickear en el botón de Entorno de Red, e ingresar en el "Administrador de Tareas TC", un muy util plug-in (agregado) para Total Commander que lista los procesos activos como si fueran archivos. Los mismos se pueden finalizar, pulsando la tecla de borrado (F8 o Del) y además obtendremos más información y opciones de los procesos si clickeamos con el botón derecho sobre ellos y entramos en las Properties.

En esta imagen vemos el botón "Entorno de Red" (arriba a la derecha) y mas abajo la lista de procesos en ejecución con el tamaño de memoria RAM que cada uno está consumiendo. Pueden notar que hay varios procesos seleccionados (en verde claro) y pueden ser terminados de una vez pulsando la tecla DEL o F8 y confirmando con Enter.

Otras alternativas son el Process Explorer incluido en la barra de herramientas del HardSide Total Commander Reloaded+ 2.0, pero insisto, tampoco cuenta con la capacidad para finalizar mas de un proceso a la vez.

¿Que procesos debo cerrar y cuales "no se tocan"?

Es dificil de explicar con certeza cuales SI y cuales NO, ya que salen decenas o centenas de nuevos malwares cada día, incluso algunos utilizan nombres de procesos generados al azar (por ejemplo jhdufyehdz.exe)

Aquí es donde juega la intuición y el ingenio de cada uno. Muchos nombres son evidentemente sospechosos, pero otros están camuflados, o se hacen llamar de formas similares a procesos que usan el sistema o los antivirus para que el usuario no sospeche y los deje activos.

Otro obstáculo es que cada usuario utiliza softwares residentes distintos, como por ejemplo distintos antivirus, firewalls, anti spam, anti pop-up's, drivers, managers de descargas, software de impresoras, scaners, etc.
Debido a esto es aun mas difícil determinar cuales procesos son malignos y cuales pertenecen a algo tan inofensivo como un driver de impresora.

Empecemos por mencionar los procesos más comunes propios de un Windows 95/98/ME, recuerdenlos para tenerlos ya identificados y saber que "no se tocan" o simplemente que son parte de Windows 9x:

systray.exe, kernel32.dll, taskmon.exe, explorer.exe, mdm.exe

Procesos propios a Windows 2000, XP y 2003:

alg.exe, csrss.exe, ctfmon.exe, dllhost.exe, explorer.exe, internat.exe, lsass.exe, mdm.exe, msmsgs.exe, mstask.exe, regsvc.exe, rundll32.exe, services.exe, smss.exe, spoolsv.exe, svchost.exe (puede haber 4 o más), system, winlogon.exe, winmgmt.exe, wisptis.exe, wmiexe.exe, wmiprvse.exe, wscntfy.exe y wuauclt.exe

Otros procesos de Windows opcionales (software que puede estar ejecutandose)

iexplore.exe (Internet Explorer), sndvol32.exe (Control de volumen), msnmsgr.exe (MSN Messenger), msimn.exe (Outlook Express), calc.exe (Calculadora), MsgPlus.exe (Messenger Plus).
Conviene cerrar este tipo de aplicaciones para que sea mas fácil y clara la detección de malware, la lista de procesos va a ser mucho mas corta.

Estos son los drivers o procesos inofensivos ajenos a Windows más comunes:

loadqm.exe (en realidad es una especie de soft espía de Microsoft, pero si lo quitamos y borramos, al volver a usar MSN Messenger, éste vuelve a aparecer mágicamente), internat.exe, countryselection.exe, pcptt.exe, nvsvc32.exe y nvcpl.exe (Drivers de placas de video nVidia). ati2evxx.exe (Drivers de placas ATI). ypager.exe (Yahoo Pager). Hay unos cuantos que comienzan por "hp____.exe" y son drivers o monitores de estado de impresoras HP. Las impresoras o multifunción de Lexmark, utilizan procesos que comienzan por Lx______.exe. Y las de Epson, tienen un nombre que suena mas a spyware que a algo inofensivo: E_S4I4C1.exe (se trata del monitor de estado de la impresora y el medidor tinta)


Otros procesos varios que no son malware, pero afectan al rendimiento y son prácticamente inútiles:

winzipquickpick.exe, realsched.exe, qttask.exe, winampa.exe (los mismos vienen de software como el WinZip, Real Player, WinAmp, QuickTime, etc.)

Software común instalado en Windows:

avguard.exe, ccapp.exe, ccevtmgr.exe, ccsetmgr.exe, ctagent.dll, defwatch.exe, dit.exe, em_exec.exe, ezsp_px.exe, gearsec.exe, hkcmd.exe, htpatch.exe, jusched.exe, mcshield.exe, mcvsescn.exe, mspmspsv.exe, navapsvc.exe, navshext.dll, nprotect.exe, nvsvc32.exe, nwiz.exe, pctspk.exe, point32.exe, smc.exe, taskman.exe, vsmon.exe, webscanx.exe son algunos ejemplos, y pertenecen a software como Zone Alarm, Norton Antivirus o AVG.

Bien, ahora veamos procesos malware típicos, pertenecientes a virus, gusanos y spyware:

gmt.exe, points manager.exe, cmesys.exe, P2P Networking.exe, newdotnet.exe, vc bat.exe, britneyspears.exe, adhost.exe, h.exe, alchem.exe, belt.exe, bridge.dll, istsvc.exe, msbb.exe, msboewn.exe, mslaugh.exe, msnappau.exe, mxtarget.dll, server.exe, newdot~2.dll, fvscan.exe, optimize.exe, save.exe, sp.exe, twaintec.dll, updmgr.exe, winnet.dll, wuamgrd.exe, wupdater.exe. Lean atentamente la lista, ya que son los más comunes, traten de recordarlos para ir familizrizándose con los nombres típicos.

Muchos intentan engañarnos usando nombres que parecen inofensivos, que la vista no nos juegue una mala pasada en estos casos, algunos ejemplos son: svch0st.exe (nótese el uso de un número cero "0" en vez de una letra "o"). Otro ejemplo es el de Isass.exe, que comienza por la letra "I" y no por una "L".
Otro ejemplo mas evidente es "norton av.exe", ninguna herramienta de Symantec o Norton utiliza este proceso, se trata de un nombre engañoso.

Qué hacer ante la duda sobre cerrar un proceso

Un caso muy común es el de no conocer un determinado proceso. Por ejemplo, nos encontramos en una PC con un proceso llamado "devldr32.exe" que nunca antes habíamos visto. Puede tratarse de algún spyware, driver o soft inofensivo.
En estos casos, tenemos que acudir a la web para buscar información sobre los procesos desconocidos; esta práctica, además, nos irá "entrenando" de a poco para reconocer mejor los procesos.
Con ingresar al Google y tipear solamente su nombre, alcanza. "devldr32.exe" y cualquier otro proceso que busquemos va a arrojar una gran lista de resultados, que nos dirán si se trata de algo malo o bueno.
También existen sitios web especializados en listar y describir procesos, con buscador propio:

ProcessLibrary     SpyAny      Neuber Task Manager

Pasos para cerrar procesos:

1) Cerrar toda aplicación que esté de más (ejemplos: Word, Excel, Internet Explorer, MSN, etc.)
2) Abrir el Administrador de Tareas del Total Commander.
3) Seleccionar con la tecla Ins (Insert) los procesos malignos.
4) Presionar la tecla DEL o F8 para terminarlos, confirmar con Enter el cuadro de diálogo que aparece.

Una vez terminadas las tareas que indicamos, no conviene cantar victoria, esperemos unos instantes y observemos la lista para ver si aparece mágicamente algún proceso (de los que finalizamos u otro nuevo). Para actualizar la lista de tareas, podemos presionar la tecla F2 (refresh).

Si nada "revivió" pasamos al siguiente paso de este tutorial.

Notar que en algunos casos, el Internet Explorer está cerrado, pero aparece (una o dos veces) listado entre los procesos en ejecución. Esto es muy común, ya que varios spywares aprovechan este recurso.
Cuando esto pasa, es porque existe un archivo .DLL asociado a iexplore.exe. Si cerramos el iexplore, éste se vuelve a abrir.
Lo recomendable en estos casos es matar el proceso iexplore.exe e inmediatamente despues (en menos de 1 segundo) debemos cambiarle el nombre al iexplore.exe (carpeta Archivos de Programa\Internet Explorer), por iexplore.bak (por ejemplo).
Para lograrlo conviene tener 2 Total Commander abiertos, uno para terminar el proceso y otro para confirmar el cuadro de diálogo de cambio de nombre a "iexplore.bak". Con la ayuda de Alt+Tab cambiaremos de una ventana a la otra y presionamos Enter (para confirmar el rename). Si somos rápidos, se puede lograr.
En caso de que se complique demasiado cerrar el iexplore.exe, recomiendo reiniciar la PC e ingresar en Modo Seguro (2000/XP) o en Modo A prueba de fallos (98/ME) y saltar al paso siguiente de este instructivo.

NO VOLVER A ABRIR EL INTERNET EXPLORER (NI SIQUIERA POR EL ICONO) YA QUE SE REGENERARÁ EL .EXE ORIGINAL. ESPERAR HASTA TERMINAR LOS PASOS DE ESTE TUTORIAL.

Al igual que algunos .DLL se asocian al iexplore.exe, algunos lo hacen con el explorer.exe (que sí siempre tiene que estar activo, ya que es el shell o interface de Windows)

Si notamos que ya no hay aplicaciones sospechosas, pero cada tanto aparece alguna y la cerramos y al cabo de un rato vuelve a aparecer, estamos frente a un caso de .DLL asociada al explorer.exe.

Para solucionarlo, finalizamos la tarea "explorer.exe". Notaremos que desaparece la barra de inicio y los iconos del escritorio (es normal, ya que no hay shell activo)

En Windows 2000/XP/2003, el explorer.exe se tendría que volver a ejecutar automáticamente (es normal, no actividad de algun spyware). Si no se vuelve a activar, tendremos que ejecutarlo nosotros mismos ingresando a la carpeta donde está instalado Windows y ejecutamos (con Enter o doble-clic) el archivo explorer.exe. Listo.

Bajo Windows 98, una vez que cerramos el explorer.exe, éste no volverá a abrirse automáticamente. Seguir los pasos explicados en el párrafo anterior para ejecuarlo de nuevo.

Bien, todos los procesos malignos estám cerrados, nunca hay que reiniciar la PC en este punto, ya que aun permanecen los archivos en sí y sus respectivas llamadas para que se ejecuten con cada inicio del sistema operativo. Cosa que resolveremos en los próximos dos pasos de este informe.

< anterior        siguiente >

HardSide