Download técnica de desinfección

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
Document related concepts
no text concepts found
Transcript 
UNIVERSIDAD TECNOLÓGICA DE IZÚCAR DE
MATAMOROS
CARRERA:
TIC-SI
MATERIA:
SOPORTE TÉCNICO
PROFESOR:
CARLOS ALBERTO GONZÁLEZ GONZÁLEZ
GRADO: 1°
GRUPO: “A”
NOMBRE DEL ALUMNO(A):
ELENA HERNADEZ ZEPEDA
TRABAJO:
TECNICAS DE DESINFECCION
SOPORTE TECNICO
GUIA DE DESINFECCION PARA SPYWARES Y VIRUS MÁS COMUNES
SEGURIDAD INFORMATICA
A continuación una lista de métodos que le será útil para desinfectar su ordenador y para que se
libere definitivamente de los troyanos, virus, gusanos, spywares, publicidad intempestiva…En
primer lugar se le presentará el nombre de la infección, luego el método que le permitirá su
erradicación.
Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)
¿Archivo wininet infectado?
Trojan Vundo/Trojan Agent CS1/Virtualmonde
1er método de desinfección
2do método de desinfección: utilizando Vundofix
Infección EGDAccess-xxx
Nail.exe
Error de limpieza en Ewido
Wareout
System Volume Information
Infección en Recycler
Lop.com
Uso de LopXP
Pasos a seguir para eliminar la infección
Sitios web seguros inaccesibles
Los Fix para diferentes virus
Perdida del tema de XP
Infección en los archivos temporales o Temporary Internet Files
Look to me
Shop at home o Home Search Assistant
Pokapoka rebelde
Spybot "error de paridad"
Desinstalar Norton
Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis
Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)
Descargar:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Ejecutarlo, luego hacer doble clic en Smitfraudfix.cmd
Seleccione la opción 1, éste generará un informe
Copiar y pegar este informe dentro de un mensaje en el foro Virus/seguridad
En imágenes:
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php
---------------------------------------------------------------------------Inicie en modo seguro:
Para esto, presione una y otra vez la tecla F8 desde que se ilumine la pantalla del PC
Se abrirá un ventana. Desplácese con las flechas del teclado a Inicio en modo seguro luego
presione Enter.
Una vez en el escritorio, si no hay color, ¡es normal!
(Si F8 no funciona, utilice la tecla F5)
------------------------------------------------------------------------------Vuelva a ejecutar el programa SmitfraudFix.
Esta vez, seleccione la opción 2, responda sí a todos:
Guardar el reporte, reinicie en modo normal, copie y pegue el informe en el foro.
¿Archivo wininet infectado?
Siga el método Smitfraudfix/Smitrem (según la versión de Windows). En el caso de que estos 2
programas no encuentren un archivo de reemplazo, actualice su sistema (= Actualización de
Windows)
Puede descargar Smitrem de aquí
==¿Cuando navega en Internet, le aparece el mensaje “Servicio de alerta”?=
A menudo, aparecen mensajes (invitándolo a llamar a un número de teléfono u otro) como:
“Servicio de alerta”. Para que ya no aparezcan:
• Inicio
• Panel de control
•Herramientas administrativas
• Servicios
• Buscar Servicio de alerta
• Hacer clic derecho encima y seleccionar Propiedades
• En el menú desplegable, poner “Deshabilitado”. Debajo poner “Detener”
• Aplicar
• Reiniciar el PC
----> Estos mensajes provienen de malas actualizaciones de su ordenador. Pasar a SP1 o SP2
solucionará su problema. A fin de navegar protegido, no dude en consultar este artículo.
----> Activar/Desactivar el servicio de alerta (el mismo método)
Trojan Vundo/Trojan Agent CS1/Virtualmonde
1er método de desinfección
Previamente: descargar y generar un informe con Hijackthis
1/ Descargar Process XP de aquí y Pocket Killbox de aquí
Si tiene el Tea Timer de Spybot:
Desactívelo, durante la manipulación
Ejecute Spybot > Modo avanzado > Herramientas >> Residente
Desmarque la casilla residente “Tea Timer” y cierre Spybot
2/ Desconéctese de Internet y cierre todos los programas activos (Windows Media Player, Internet
Explorer, etc.)
Descomprima (clic derecho > extraer) Process XP y haga doble clic en processxp.exe
En la ventana principal de Process XP, haga doble clic en winlogon.exe
En la ventana que se abre, haga clic en threads
Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una
de las líneas encontradas.
Una vez hecho esto, Pulse Aceptar (OK) para validar
Enseguida:
En la ventana principal de Process XP, haga doble clic en explorer.exe
En la ventana que se abre, haga clic en threads
Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una
de las líneas encontradas.
Una vez hecho esto, Pulse Aceptar para validar
3/ Ejecute HijackThis:
Haga clic en "Do a system scan only"
Marcar la casilla al inicio de estas líneas:
Fije la 02 y 020 (la 02 por lo general tiene como nombre MSevent. La dLL de la 020 y de la 02 son
similares)
Valide con [Fix Checked]
4/ Haga doble clic en killbox.exe (Pocket Killbox)
Marcar la casilla: Delete on reboot
En "Full Path of File to Delete", copie y pegue: Insertar la ruta complete de la infección (disponible
en 02 y 020)
Haga clic en la aspa roja
Aparecerá una ventana para confirmar, haga clic en YES
Una segunda ventana le preguntará para reiniciar el equipo, haga clic en YES
Deje reiniciar al PC
Si aparece este mensaje: "pending file rename operations registry data has been removed by
external process.", ignórelo, y reinicie el PC manualmente.
Vuelva a marcar la casilla para reactivar el Tea Timer de Spybot.
Luego, verifique nuevamente con un log HijackThis que todo ha desaparecido.
2do método de desinfección: utilizando Vundofix
Descargar VundoFix.exe (de Atribune) en su Escritorio.
Haga doble clic en VundoFix.exe para ejecutarlo.
Haga clic en el botón Scan for Vundo.
Cuando el scan haya terminado, pulse el botón Remove Vundo.
Se le preguntará si desea eliminar los archivos, haga clic en YES
Después de haber hecho clic en “YES”. El Escritorio desaparecerá por un momento durante la
eliminación de los archivos.
Aparecerá un mensaje anunciándole que el PC se apagará ("shutdown"). Haga clic en OK
Reinicie el PC.
Copie y pegue el contenido del informe situado en C:\vundofix.txt así como un nuevo informe
HijackThis! En su próxima respuesta en el foro.
Infección EGDAccess-xxx
Generar un informe HijackThis.
Reparar y fijar: las líneas que contienen el nombre de la infección + egdaccess, egauth, sysnetsvc
Ejemplo:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} –
http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab
Otro método:
Descargar Brute Force Uninstaller
Descomprímalo en una carpeta creada para éste (C:\BFU)
Haga clic derecho AQUÍ y seleccione “Guardar como” (en IE es “Guardar el enlace como…”) para
descargar EGDACCESS Remover (de Metallica). Guárdelo en la carpeta creada (C:\BFU)
Inicie "Brute Force Uninstaller" haciendo doble clic en BFU.exe en scriptline to execute copiar y
pegar c:\bfu\EGDACCESS.bfu *Haga clic en execute y déjelo trabajar.
Espere a que aparezca complete script execution y haga clic en OK.
Haga de nuevo las mismas operaciones con ese archivo
Haga clic en Exit para cerrar el programa BFU.
Reinicie y publique un nuevo informe HijackThis.
Nail.exe
Esta infección se presenta de esta forma:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
Se debe saber que está asociado a un 04
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r
Esta 04, ¿Cómo repararla? Hay varios índices que están a nuestra disposición:
-Es una 04
-Esta se encuentra en la carpeta system32
-Al lado del .exe hay una “r”
Las letras entre *…+ y la xxx.exe son aleatorias, no significan nada, no especifican nada, y no se
encuentra ninguna información en ellas
Cómo liberarse de ellas:
Por lo que sigue, imprima esto ya que las operaciones son largar y se requiere bastante rigor.
1) IMPORTANTE:
No deje que el ordenador reinicie en modo normal entre cada operación. (con el riego de partir de
cero).
2) Descargar:
L2Mfix: http://www.downloads.subratam.org/l2mfix.exe
CleanUp!
-Tutorial
Pocket Killbox: http://www.downloads.subratam.org/KillBox.
3) Desactivar la restauración del sistema (únicamente si está en XP):
-Haga clic derecho en Mi PC/Propiedades
-Haga clic en la pestaña Restaurar sistema
-Marcar la casilla “Desactivar restaurar sistema” y aplicar.
Verifique esto:
Mostrar todos los archivos y carpetas ocultos:
Haga clic en Inicio/Panel de control/Opciones de carpeta/Ver:
Marcar “Mostrar todos los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Desmarcar “Ocultar las extensiones de archivo para tipos de archivo conocido”
Luego haga clic en Aceptar para validar los cambios.
Y aplicar
4) Vaciar los archivos temporales y Temporary Internet Files de todos los usuarios:
Utilice Cleanup40: http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
5) Ejecute L2Mfix
Descomprímalo (clic derecho / Extraer todo). Haga doble clic en L2Mfix.bat
Presione cualquier tecla y luego seleccione la opción 2.
Al final, el programa debería reiniciar el sistema, en cuanto se lance el bios, presione varias veces
la tecla F8 para pasar al modo seguro (esto es </gras>importante</gras>)
5) Pocket Killbox:
1- Haga doble clic en KillBox.exe
2- Abra el bloc de notas y copie la lista en negrita de más abajo
3- seleccione "Delete on Reboot"
4- Vaya al bloc de notas y subraye toda la lista, luego haga clic derecho encima y haga clic en
copiar
5- Regrese a killbox, y en el menú de arriba, haga clic en File, luego en Paste from clipboard
5-Haga clic en el círculo rojo.
6- Aparecerá una ventana para confirmar. Haga clic en SI
7- Una segunda ventana le preguntara si desea reiniciar. Hacer clic en SI
Lista
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Poner aquí la ruta de la 04 que se encontró.
Ignorar este mensaje si aparece:
http://tinypic.com/jsj7kl.jpg
Cuando KillBox reinicie el PC, presione inmediatamente en F8, para pasar al modo seguro.
6) Ejecute HijackThis y fije:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------Es decir la 04 reparada
anteriormente
8) volver a pasar L2Mfix opción 2, deje que el ordenador reinicie normalmente y vuelva a hacer un
log HijackThis
Verifique que la infección haya sido erradicada.
Error de limpieza en Ewido
Si encuentra este tipo de problemas con Ewido:
[2660] VM_00890000 -> Downloader.Agent.uj : Error durante la limpieza
[2728] VM_00BA0000 -> Downloader.Agent.uj : Error durante la limpieza
[2984] VM_009A0000 -> Downloader.Agent.uj : Error durante la limpieza
[3048] VM_00950000 -> Downloader.Agent.uj : Error durante la limpieza
Descargar: http://downloads.subratam.org/Fixwareout.exe
Instálelo y siga el procedimiento
Vuelva a hacer un scan con Ewido en modo seguro; y nuevamente en modo normal.
Wareout
Este tipo de infección puede engendrar un desbarajuste en su ordenador (ejemplo: hacer que se
cuelguen todos los scan de desinfección, programas…) y propiciar la aparición de otros tipos de
infección, lo que a veces puede tener como resultado un sistema operativo casi inutilizable…
Felizmente esta infección se puede identificar fácilmente en un informe HijackThis, ésta se
manifiesta por una(s) dirección(es) IP dirigiendo a Ucrania:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
==>Método de desinfección
Descargar en el escritorio FixWareout de uno de estos dos sitos:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Ejecutar el fix, haga clic en Next, luego Install, verifique que "Run fixit" esté activado, luego haga
clic en Finish.
El fix comenzará, seguir los mensajes de la pantalla. Se le preguntará al final para reiniciar el
ordenador (si el sistema demora un poco más en arrancar, ¡es normal!)
Observación 1:
En caso de otros tipos de infección que se adicionen a Wareout, y que necesiten también la
utilización de un fix (ejemplo: las variantes de Smitfraud, Vundo ...), elimine en primer lugar a
Wareout ya que su presencia en el sistema puede volver inutilizables los otros fix…
Observación 2:
En ciertos casos puede que aún después del uso de FixWareout, y HijackThis, estos famosos 017
resistan, y reaparezcan en los informes HijackThis. A continuación un truco que permite
neutralizar definitivamente estas líneas de los informes:
Vaya a Inicio > Panel de control > Conexiones de red > Propiedades > Pestaña Administración de
red
Posiciónese sobre Protocolo Internet (TCP/IP) luego haga clic en el botón Propiedades.
En las opciones (servidor DNS preferido y Servidor DNS alternativo) encontraremos una de las
direcciones presentes en el informe hijackthis en la línea 17 ==>( 85.255.114.73 / 85.255.112.227
etc...)
Para eliminarlos, marque: “Obtener la dirección del servidor DNS automáticamente” luego haga
doble clic en Aceptar y reinicie el PC.
System Volume Information
Si luego del análisis, la infección se encuentra en:
C:\System Volume Information\_Restore....
Esto significa que un punto de restauración es el que está infectado (a saber que la infección esté
inactiva). Para resolver el problema:
¤Desactivar la restauración del sistema (únicamente si está en XP):
Haga clic derecho sobre Mi PC/Propiedades
Haga clic en la pestaña Restaurar sistema
Marcar la casilla “Desactivar Restaurar sistema” y aplique.
Luego,
Reactivar Restaurar sistema (únicamente si está en XP):
Hacer clic derecho en Mi PC/Propiedades
Haga clic en la pestaña Restaurar sistema
Desmarcar la casilla “Desactivar Restaurar sistema” y aplique.
Para Windows ME:
http://service1.symantec.com/...
Infección en Recycler
Esto significa que su papelera de reciclaje contiene elementos infectados, vacíela simplemente. En
el caso de que la papelera esté vacía, y el análisis haya detectado un problema al interior de ésta,
utilice el programa Chaos Shredder (Programas de desinfección) para eliminarla.
==Win32.Delf.pa, alias Trojan.Stwoyle ===
¿Cómo es este troyano y cómo reconocerlo?
Generar un informe HijackThis, si está en presencia de esto, entonces quiere decir que el troyano
está presente:
O2 - BHO: C:\WINDOWS\adsldpbc.dll
O20 - Winlogon Notify: style32
O20 - Winlogon Notify: style2
Elimínelo:
Descargar Win32delfkil de aquí
Guárdelo en el escritorio.
Hacer doble clic en win32delfki_Bl.exe y proceda a la instalación. La carpeta win32delfki_Bl.exe es
creada. Cerrar todas las ventanas, abra resta carpeta y haga doble clic sobre fix.bat.
Lop.com
Cuando se instala MSN+, quizás no se preste atención a esto:
Y sin embargo, aceptándolos, se hereda la infección lop.com (trojan swizzor)
¿Cómo se manifiesta?
http://theroot.chez-alice.fr/imgs/tuto/msgplus.jpg
-Nueva barra de tareas
-Publicidad
-Favoritos que no se pueden eliminar (casino, travel…)
¿Cómo eliminarlos?
Generar un informe HijackThis y la infección se manifestará de esta manera:
Logfile of HijackThis v1.99.1
Scan saved at 22:55:38, on 2005-12-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\lexpps.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Annie\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
[http://www.orkabsjvmoaybw[...].com/K5kkeYXoTLXcI5kK7[...]9IzROOKlIgNIxBYi.html
Viendo esta línea, usted sabrá a partir de ahora que ¡los patrocinadores de MSN han sido
instalados! Esta se presentan con letras a continuación de otras, bastante largas y que no
significan nada.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://sympatico.msn.ca/?lang=fr-ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program
Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program
Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program
Files\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} C:\WINDOWS\system32\communicator.dll
O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero
Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe
Siempre hay un BHO ligada a la infección, la puede ubicar fácilmente porque la ruta de acceso es:
Document and Settings +nombre de sesión (como el de arriba) + Application Data
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN
Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN
Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All
Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe
Aquí igual, vemos claramente la ruta.
A veces hay un R1, un 02 (BHO), y a veces dos líneas en 04, pero esto puede variar.
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe"
reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-96690800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}:
NameServer = 206.47.244.79 206.47.244.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers
communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program
Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program
Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Uso de LopXP
1) A continuación, una vez reconocido, generar un informe de LopXP, lo puede descargar aquí
2) Haga doble clic en Lopxpsetup.exe para lanzar la instalación
En el menú, seleccione la opción 1
Espere hasta que se le pida presionar alguna tecla
Luego será creado un informe, copie y péguelo completo en el foro
¿Para que sirve? Explicación:
Según lo que haya identificado en HijackThis, lo buscará aquí: (como la ruta está indicada en el log,
lo buscará ¡para tener el nombre completo!)
El informe de LopXP se parece a esto:
Informe hecho a las 21:33:31, 29 el 2005-12-25
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\Default User\Application Data
2004-07-22 10:09 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octetos
3 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Repertorio de C:\Documents and Settings\All Users\Application Data
2005-12-23 08:51 <REP> Tenebril
2004-07-22 10:06 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 archivo(s) 0 octetos
4 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\user\Application Data
2005-01-21 20:34 <REP> Motive
2004-08-30 10:23 <REP> Identities
2004-08-30 10:23 <REP> Microsoft
2004-08-30 10:23 <REP> ..
2004-08-30 10:23 <REP> .
0 archivo(s) 0 octetos
5 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\ctrl\Application Data
2004-07-22 10:25 <REP> Identities
2004-07-22 10:24 <REP> Microsoft
2004-07-22 10:24 <REP> ..
2004-07-22 10:24 <REP> .
0 archivo(s) 0 octetos
4 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\Default User.WINDOWS\Application Data
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> ..
2005-01-22 12:15 <REP> .
1 archivo(s) 62 octetos
3 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\All Users.WINDOWS\Application Data
2005-12-23 08:51 <REP> Tenebril
2005-12-15 17:34 <REP> Adobe
2005-10-14 22:46 <REP> Apple Computer
2005-08-31 14:04 <REP> Spybot - Search & Destroy
2005-08-29 13:29 <REP> vidctrl
2005-08-23 21:53 <REP> InstallShield
2005-04-14 16:41 <REP> AmokFirstGplProgram <<<identificado en 04
2005-04-08 13:44 <REP> Messenger Plus!
2005-02-27 12:41 <REP> Zylom
2005-01-23 18:48 <REP> Zero Knowledge
2005-01-22 15:34 <REP> MSN6
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> .
2005-01-22 12:15 <REP> ..
1 archivo(s) 62 octetos
14 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\Annie\Application Data
2005-12-23 09:00 <REP> Tenebril
2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT
2005-12-21 18:35 <REP> Lavasoft
2005-10-06 17:49 <REP> Real
2005-09-09 03:44 <REP> Style gpl title << identificado en 02
2005-08-25 18:57 <REP> Jasc
2005-07-02 14:24 <REP> Sun
2005-04-07 16:29 <REP> proc platform
2005-04-07 16:21 <REP> AdobeUM
2005-03-28 13:38 <REP> Mozilla
2005-03-24 20:22 <REP> Adobe
2005-03-12 23:04 <REP> Registry Cleaner
2005-02-16 22:07 <REP> Zylom
2005-01-26 22:13 <REP> Help
2005-01-23 18:51 <REP> Zero Knowledge
2005-01-22 16:30 <REP> Macromedia
2005-01-22 15:34 <REP> MSN6
2005-01-22 13:43 <REP> Identities
2005-01-22 13:43 62 desktop.ini
2005-01-22 13:43 <REP> ..
2005-01-22 13:43 <REP> .
2005-01-22 13:43 <REP> Microsoft
2 archivo(s) 21982 octetos
20 R‚p(s) 3637395456 octetos libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.Búsqueda de tareas planificadas en C:\WINDOWS\Tasks
Para eliminar la infección, se debe eliminar la tarea planificada de otro modo ésta regresará
sistemáticamente; está se identifica así:
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\WINDOWS\Tasks
2005-12-21 15:59 264 ABF3A22291945C8E.job (Une serie de letras y de números acabando en
.job)
2005-02-24 17:00 188 setup.job
2005-01-22 13:31 6 SA.DAT
2005-01-22 13:27 65 desktop.ini
2005-01-22 13:27 <REP> ..
2005-01-22 13:27 <REP> .
4 archivo(s) 523 octetos
2 R‚p(s) 3ÿ637ÿ395ÿ456 octetos libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.Búsqueda en Program files
La carpeta C:\Program Files\C2Media no existe <--- si C2media existe aquí, ¡hay que eliminarlo!
-.-.-.-.-.-.-.-.-.-.-.- Fin del informe.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.Pasos a seguir para eliminar la infección
Imprimir, o guardar las acciones en el bloc de notas para estar seguro que no olvida nada y hacerlo
todo en orden.
1/ Descargar CleanUp 40
Desconectarse de internet y cerrar todos los programas activos.
• Reiniciar en modo seguro
Reiniciar el PC, deje pasar la pantalla del Bios, luego presione seguidamente la tecla F8 antes de
que aparezca la pantalla de carga de Windows.
Elija el modo seguro de las opciones disponibles y valide con Enter.
(Si F8 no funciona, intente con F5)
•Haga visibles los archivos ocultos y de sistema
Panel de control > Opciones de carpeta > Pestaña Ver
Marcar la casilla “Mostrar todos los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar las extensiones de archivo para tipos de archivo conocido”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Hacer clic en [Aplicar] luego en [Aceptar] para validar
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
•Ejecutar HijackThis y hacer clic en [Do a system scan only]
Marcar la casilla al inicio de las líneas siguientes:
AQUÍ, las líneas de HijackThis a fijar
Hacer clic en el botón [Fix Checked] para validar
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
•Buscar y eliminar estas carpetas:
Elimine los archivos, si es posible, siguiendo la ruta de los archivos infectados, en vez de utilizar la
función “Buscar”
Si están presentes, elimine:
Los archivos a eliminar con las rutas exactas que se ha podido extraer fácilmente de LopXP
+C2Media si es que existe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Luego, Vaya a Inicio > Ejecutar. Ingrese cmd luego Aceptar.
En la ventana que aparece, copie y pegue esto:
del /a C:\WINDOWS\tasks\A0AFC843918446AF.job
Aquí, la eliminación de la tarea planificada. Basta con reemplazar la serie en negrita por la
encontrada en LogXP (puede que haya +1)
Y presione Enter para validar
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Luego, muy importante:
::Eliminar los archivos temporales::
Ejecute Cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Reinicie de manera normal y publique un Hijackthis…
Sitios web seguros inaccesibles
Si le es imposible acceder a sitios web seguros, y obtiene siempre un mensaje de Internet Explorer
que le dice que es imposible mostrar la página, entonces existen varias soluciones para corregir el
problema. De una parte, debe verificar que las funciones SSL estén activas en Internet Explorer y
de otra parte, debe reinscribir el archivo Softpub.dll en el Registro.
En Internet Explorer, haga clic en el menú Herramientas luego Opciones de Internet. Luego haga
clic en la pestaña Opciones avanzadas. En Configuración, ubique la sección Seguridad. Verifique
que las casillas SSL 2.0 y SSL 3.0 estén marcadas. Si no lo están, márquelas. Haga clic en Aceptar
para validar.
Los Fix para diferentes virus
La mayoría de virus más comunes, más devastadores, tienen un fix (pequeño programa de
desinfección) para erradicarlos.
Perdida del tema de XP
Producto de una infección, puede perder el tema de XP y serle imposible ponerlo entre las
opciones debido a que ya no aparece. No hay por que alarmarse…
Descargue y descomprima: http://pageperso.aol.fr/Balltrap34/luna.zip
Enseguida, póngalo en C:\WINDOWS\Resources\Themes\Luna y haga doble clic encima
Luego, intente poner el estilo XP
Infección en los archivos temporales o Temporary Internet Files
No se alarme, se trata de una infección menor, puede que producto de una descarga, su antivirus
detecte una infección en:
¤ C:\Documents and Settings\su cuenta\Local Settings\Temporary Internet Files\Content.IE5...
¤ C:\Documents and Settings\su cuenta\Local Settings\Temp...
¤ C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp...
¤ C:\Windows\Temp...
A continuación 2 soluciones, bien sencillas:
1) Mostrar los archivos ocultos:
Haga clic en Inicio/Panel de control/Herramientas/Opciones de carpeta/Ver
Marcar “Mostrar los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Desmarcar “Ocultar las extensiones de archivos para tipos de archivo conocidos”
Luego haga clic en Aceptar para validar los cambios.
¡Y aplicar!
---------------------------------------------------------------------------¤Vacíe el contenido de los archives temporales y Temporary Internet Files:
C:\Documents and Settings\su cuenta\Local Settings\Temp
C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp
C:\Windows\Temp
::El contenido de la carpeta prefetch::
C:\WINDOWS\Prefetch <= excepto el archivo layout.ini
¡No olvide de vaciar la papelera de reciclaje!
2) Utilice Cleanup 40 para que los elimine automáticamente:
CleauUp 40
==Malos anti-spywares ==rogues==
http://www.spywarewarrior.com/rogue_anti-spyware.htm
Rogue significa que estos productos son desconocidos, cuestionables, o de dudoso valor como
protección anti-spywares.
Algunos de los productos enumerados en esta página simplemente no garantizan una probada y
fiable protección de anti-spyware o pueden ser inclinados a falsos resultados. Otros pueden
emplear tácticas desleales, engañosas, de presión en la venta para conseguir fácilmente vender a
crédulos y confusos usuarios. Algunos de estos son conocidos por instalar ellos mismo
spyware/adware.
Look to me
Esta infección es responsable de la publicidad cuando navega, les voy a proponer un único método
entre varios que existen, si éste no funciona, diríjase al foro virus/seguridad.
Generar un informe HijackThis, concretamente, la infección se presenta de esta manera:
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll
¿Cómo desinfectarlo?
Descargar L2Mfix de aquí
Haga doble clic en L2Mfix.exe para lanzar la extracción.
En la carpeta l2mfix, hacer doble clic en l2mfix.bat y seleccione la opción #1 y presione Enter para
validar.
Se abrirá el bloc de notas con el resultado del scan.
Copie y pegue el resultado en el foro.
Vuelva a ejecutar L2Mfix y seleccione la opción 2
Acepte el reinicio del PC.
Verificar que la 020 haya desaparecido (si todavía está presente, haga la opción 2 en modo seguro,
si esto no funciona entonces puede utilizar KillBox…)
Shop at home o Home Search Assistant
Descargar Cws-hsa.reg de aquí
Instálelo en el escritorio y haga clic dos veces encima.
Descargar Hsremove de aquí
Pokapoka rebelde
Para Pokapoka, existe un bat que lo elimina así como otros archivos que no son visibles con
HijackThis.
En muy raros casos, la carpeta ETB sólo es visible en Dos.
http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
(Descomprima y ejecute lqfix.bat en modo seguro, si es posible)
Spybot "error de paridad"
Cambiar de servidor de la lista propuesta por Spybot (botón al lado de “Buscar actualizaciones”).
Si es su caso, elija uno con (europa) escrito al lado del nombre
Desinstalar Norton
http://service1.symantec.com/...
Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis
HijackThis >Open the misc tools sections -> open Uninstall manager -> hacer clic en “Save list” ->
Guardar el archivo -> cópielo y péguelo aquí.
FUENTE:
http://www.commentcamarche.net/faq/2500-spywares-methodes-de-desinfection
Análisis comparativo de los principales sistemas antivirus
RESUMEN
Con el objetivo de comprender los virus informáticos, así como de analizar y comparar los principales
sistemas antivirus existentes, se
procedió a revisar algunas de las comparativas principales publicadas en sitios y fuentes de
reconocido prestigio en este tema. Se trató un
grupo de elementos teóricos sobre los virus y los sistemas antivirus: definiciones, clasificaciones,
características, estructura, etcétera. Se
analizó y comparó un conjunto de sistemas antivirus, ubicados entre los más poderosos y populares
en la literatura consultada: Norton Antivirus, McAfee, AVP y Avira, ESET NOD32, Panda y
Kaspersky. Ningún sistema antivirus ofrece una protección completa, pero el uso correcto de estas
herramientas produce una
sensible reducción de los daños y pérdidas provocadas por este flagelo en la red.
En los años 50, los especialistas del área de la computación discutieron, por primera vez, la
posibilidad de generar un programa capaz de
duplicarse y extenderse entre las computadoras. Pero, no fue hasta 1983, que se creó un software de
virus real, cuando un estudiante en la
Universidad de California, Fred Cohen, elaboró una tesis de doctorado sobre el tema.
Hace algunos años cuando se hablaba de las infecciones por virus, algunas empresas argumentaban
que ellas no presentaban ese
problema; consideraban que al extraer las torres de discos de las estaciones de trabajo de sus
usuarios, evitarían que ellos invadieran su
red de computadoras. Hoy, todos saben muy bien que el problema de los virus no se resuelve tan
simplemente, porque dichos usuarios
disponen, además, de acceso a Internet y a correo electrónico. Un usuario puede recibir un correo
infectado con un virus desde cualquier
parte del mundo, y en pocos minutos, su red estará totalmente infectada.1
Normalmente las empresas piden a los administradores de redes que comparen los antivirus
existentes para determinar cuáles son
capaces de reconocer y eliminar la mayor cantidad de virus posibles.2 Cada día crece el número de
virus informáticos que circulan por las
redes, fundamentalmente mediante el correo electrónico y desde Internet. Crece, por lo tanto, la
necesidad de proteger los recursos de
software y en especial la información.
El objetivo del presente trabajo es revisar los sistemas antivirus más empleados a escala mundial con
el objetivo de determinar cuál o
cuáles son los más convenientes para la protección de los recursos de información de una
organización o empresa de acuerdo con las
características particulares de cada una de ellas.
MARCO TEÓRICO
¿Qué es un virus?
Un virus es un pequeño programa capaz instalarse en la computadora de un usuario sin su
conocimiento o permiso. Se dice que es un
programa parásito porque ataca a los archivos o sectores de "booteo" y se replica para continuar su
esparcimiento.3
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños a los
sistemas. Nunca se puede asumir que un
virus es inofensivo y dejarlo "flotando" en el sistema. Ellos tienen diferentes finalidades. Algunos sólo
'infectan', otros alteran datos, otros los
eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: propagarse.
eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: propagarse.
CLASIFICACIÓN GENERAL DE LOS VIRUS
Existen diferentes tipos de virus:1
Virus de macros/código fuente. Se adjuntan a los programas fuente de los usuarios y a las macros
utilizadas por: procesadores de
palabras (Word, Works, WordPerfect), hojas de cálculo (Excell, Quattro, Lotus), etcétera.
Virus mutantes. Son los que, al infectar, realizan modificaciones a su código, para evitar su de
detección o eliminación (NATAS o
SATÁN, Miguel Angel, por mencionar algunos).
Gusanos. Son programas que se reproducen y no requieren de un anfitrión, porque se "arrastran" por
todo el sistema sin necesidad
de un programa que los transporte.
Los gusanos se cargan en la memoria y se ubican en una determinada dirección, luego se copian a
otro lugar y se borran del que
ocupaban y así sucesivamente. Borran los programas o la información que encuentran a su paso por
la memoria, causan problemas
de operación o pérdida de datos.
Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente
diferente a la de su objetivo final; esto
es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún
tiempo, y de acuerdo con una
indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas
intenciones.
Bombas de tiempo. Son los programas ocultos en la memoria del sistema, en los discos o en los
archivos de programas ejecutables
con tipo COM o EXE, que esperan una fecha o una hora determinada para "explotar". Algunos de
estos virus no son destructivos y
solo exhiben mensajes en las pantallas al momento de la "explosión". Llegado el momento, se activan
cuando se ejecuta el programa
que los contiene.
Autorreplicables. Son los virus que realizan las funciones mas parecidas a los virus biológicos, se
autorreproducen e infectan los
programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programada o
cada determinado tiempo, a
partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de
estos es el virus llamado Viernes
13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), para evitar que lo
detecten.
Infectores del área de carga inicial. Infectan los disquetes o el disco duro, se alojan inmediatamente
en el área de carga. Toman el
control cuando se enciende la computadora y lo conservan todo el tiempo.
Infectores del sistema. Se introducen en los programas del sistema, por ejemplo COMMAND.COM y
otros que se alojan como
residentes en memoria. Los comandos del sistema operativo, como COPY, DIR o DEL, son
programas que se introducen en la
memoria al cargar el sistema operativo y es así como el virus adquiere el control para infectar todo
disco que se introduzca a la unidad
con la finalidad de copiarlo o simplemente para revisar sus carpetas.
Infectores de programas ejecutables. Estos son los virus más peligrosos, porque se diseminan
fácilmente hacia cualquier programa
como hojas de cálculo, juegos, procesadores de palabras.
La infección se realiza al ejecutar el programa que contiene al virus, que, en ese momento, se sitúa
en la memoria de la computadora y, a
partir de entonces, infectará todos los programas cuyo tipo sea EXE o COM, en el instante de
ejecutarlos, para invadirlos mediante su
autocopia.
Aunque la mayoría de estos virus ejecutables "marcan" con un byte especial los programas
infectados --para no volver a realizar el proceso
en el mismo disco--, algunos de ellos, como el de Jerusalén, se duplican tantas veces en el mismo
programa y en el mismo disco, que
llegan a saturar su capacidad de almacenamiento.
CLASIFICACIÓN POR EL MODO EN QUE ACTÚAN
En la literatura revisada, se encontraron distintas clasificaciones según el modo en que los virus
infectan:3
Programa: Infectan archivos ejecutables como .com / .exe / .ovl / .drv / .sys / .bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la tabla de partición.
Múltiples: Infectan programas y sectores de "booteo".
Bios: Atacan al Bios para desde allí reescribir los discos duros.
Hoax: Se distribuyen por correo y la única forma de eliminarlos es el uso del sentido común. Al
respecto, se trata de virus que no
existen y que se utilizan para aterrar a los novatos especialmente en Internet a pesar que los rumores
lo muestran como algo muy serio
y, a veces, la prensa especializada toma la información. Por lo general, como se expresó, la difusión
se hace por cadenas de correo
con terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se
relacionan una serie de supuestos
"virus", por lo que es aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos para
continuar con la cadena, porque
se crearon precisamente para producir congestionamiento en Internet.
Los virus stealth (invisibles) engañan a los software antivirus. Esencialmente, un virus de este tipo
conserva información sobre los archivos
que ha infectado y después espera en memoria e intercepta cualquier programa antivirus que busque
archivos modificados y le ofrece la
información antigua en lugar de la nueva.
Los virus polimórficos se alteran sólo cuando se duplican, de modo que el software antivirus que
busca comportamientos específicos no
encontrará todas las apariciones de los virus; los que sobreviven pueden seguir duplicándose.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un
virus informático en una computadora.
Este es el aspecto más importante de un antivirus, independientemente de las prestaciones
adicionales que pueda ofrecer, porque el hecho
de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas
necesarias, es suficiente para eliminar un
buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar
un virus informático de una entidad
infectada.3
TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS
Existen diferentes técnicas para la detección de los virus informáticos.3
1. Scanning o rastreo: Fue la primera técnica que se popularizó para la detección de virus
informáticos, y que todavía se utiliza -aunque
cada vez con menos eficiencia. Consiste en revisar el código de todos los archivos ubicados en la
unidad de almacenamiento fundamentalmente los archivos ejecutables - en busca de pequeñas porciones de código que puedan
pertenecer a un virus
informático.
La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe aislarse
por el usuario y enviarse al
fabricante de antivirus, la solución siempre será a posteriori: es necesario que un virus informático se
disperse considerablemente
para que se envíe a los fabricantes de antivirus. Estos lo analizarán, extraerán el trozo de código que
lo identifica y lo incluirán en la
próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento
en que el virus comienza a tener
una gran dispersión, lapso en el que puede causar graves daños sin que pueda identificarse.
Otro problema es que los sistemas antivirus deben actualizarse periódicamente debido a la aparición
de nuevos virus. Sin embargo,
esta técnica permite identificar rápidamente la presencia de los virus más conocidos y, al ser estos los
de mayor dispersión, posibilita
un alto índice de soluciones.
2. Comprobación de suma o CRC (Ciclyc Redundant Check): Es otro método de detección de virus.
Mediante una operación
matemática que abarca a cada byte del archivo, generan un número (de 16 ó 32 bytes) para cada
archivo. Una vez obtenido este
número, las posibilidades de que una modificación del archivo alcance el mismo número son muy
pocas. Por eso, es un método
tradicionalmente muy utilizado por los sistemas antivirus. En esta técnica, se guarda, para cada
directorio, un archivo con los CRC de
cada archivo y se comprueba periódicamente o al ejecutar cada programa. Los programas de
comprobación de suma, sin embargo,
sólo pueden detectar una infección después de que se produzca. Además, los virus más modernos,
para ocultarse, buscan los
ficheros que generan los programas antivirus con estos cálculos de tamaño. Una vez encontrados, los
borran o modifican su
información.
3. Programas de vigilancia: Ellos detectan actividades que podrían realizarse típicamente por un
virus, como la sobreescritura de
ficheros o el formateo del disco duro del sistema. En esta técnica, se establecen capas por las que
debe pasar cualquier orden de
ejecución de un programa. Dentro del caparazón de integridad, se efectúa automáticamente una
comprobación de suma y, si se
detectan programas infectados, no se permite que se ejecuten.
4. Búsqueda heurística: Es otra técnica antivirus que evita la búsqueda de cadenas. Con ella, se
desensambla el programa y se ejecuta
paso a paso, a veces mediante la propia CPU. De ese modo, el programa antivirus averigua qué hace
exactamente el programa en
estudio y realiza las acciones oportunas. En general, es una buena técnica si se implementa bien,
aunque el defecto más importante
es la generación de falsas alarmas, que no se tiene la certeza de que un programa sea un virus en
función de su comportamiento. La
mayoría de los virus nuevos evitan directamente la búsqueda heurística modificando los algoritmos,
hasta que el programa antivirus no
es capaz de identificarlos.
A pesar de utilizar estas cuatro técnicas, ningún programa puede asegurar la detección del ciento por
ciento de los virus.
La calidad de un programa antivirus no sólo se demuestra por el número de virus que es capaz de
detectar, sino también por el número de
falsas alarmas que produce, es decir, cuando el programa antivirus estima que ha localizado un virus
y en realidad se trata de un fichero
sano (falso positivo). Puede ocurrir que un fichero presente una combinación de bytes idéntica a la de
un virus, y el programa antivirus
indicaría que ha detectado un virus y trataría de borrarlo o de modificarlo.
PROGRAMAS ANTIVIRUS
Estructura de un programa antivirus
Un programa antivirus está compuesto por 2 módulos principales: el primero denominado de control y
el segundo de respuesta. A su vez,
cada uno de ellos se divide en varias partes:3
1. Módulo de control: posee la técnica para la verificación de integridad que posibilita el hallazgo de
cambios en los archivos ejecutables
y las zonas críticas de un disco rígido, así como la identificación de los virus. Comprende diversas
técnicas para la detección de virus
informáticos y de códigos dañinos: En caso necesario, busca instrucciones peligrosas incluidas en
programas para garantizar la
integridad de la información del disco rígido. Esto implica descompilar (o desensamblar) en forma
automática los archivos
almacenados y tratar de ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el
módulo de control también efectúa un
monitoreo de las rutinas mediante las que se accede al hardware de la computadora (acceso a disco,
etc.). Al restringir el uso de
estos recursos, -por ejemplo, cuando se impide el acceso a la escritura de zonas críticas del disco o
se evita que se ejecuten
funciones para su formateo-, se limita la acción de un programa.
2. Módulo de respuesta: la función alarma se encuentra incluida en todos los programas antivirus y
consiste en detener la acción del
sistema ante la sospecha de la presencia de un virus informático. Se informa la situación mediante un
aviso en pantalla. Algunos
programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo.
CARACTERÍSTICAS QUE DEBE POSEER UN SISTEMA ANTIVIRUS
La expresión "cuál es el mejor antivirus", puede variar de un usuario a otro. Es evidente que para un
usuario inexperto el término define casi
con seguridad al software que es más fácil de instalar y utilizar, algo totalmente intranscendente para
usuarios expertos, administradores de
redes, etc.4
No se puede afirmar que exista un solo sistema antivirus que presente todas las características
necesarias para la protección total de las
computadoras; algunos fallan en unos aspectos, otros tienen determinados problemas o carecen de
ciertas facilidades. De acuerdo con los
diferentes autores consultados, las características esenciales son las siguientes:5,6
1. Gran capacidad de detección y de reacción ante un nuevo virus.
2. Actualización sistemática.
3. Detección mínima de falsos positivos o falsos virus.
4. Respeto por el rendimiento o desempeño normal de los equipos.
5. Integración perfecta con el programa de correo electrónico.
6. Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo electrónico, red
o discos flexibles).
7. Gran capacidad de desinfección.
8. Presencia de distintos métodos de detección y análisis.
9. Chequeo del arranque y posibles cambios en el registro de las aplicaciones.
10. Creación de discos de emergencia o de rescate.
11. Disposición de un equipo de soporte técnico capaz de responder en un tiempo mínimo (ejemplo
48 horas) para orientar al usuario en
caso de infección.
Existen sistemas antivirus que tienen además, la característica de trabajar directamente en redes
LAN y WAN, así como en servidores
proxy.
Ante la masiva proliferación, tanto de virus como de productos dirigidos a su tratamiento, existe la
necesidad de que algún organismo
reconocido de carácter internacional certifique los productos antivirus y asegure su correcto
rendimiento. En un antivirus lo más importante
es la detección del virus y, al estudio de tal fin se dedican asociaciones como la ICSA (International
Computer Security Association) anteriormente la NCSA - y la Checkmark. Ambas siguen procedimientos similares. En concreto, para
que la ICSA certifique un producto
antivirus, ha de ser capaz de detectar el 100 % de los virus incluidos en la Wildlist (lista de virus
considerados en circulación) y, al menos, un
90 % de la Zoolist -una colección de varios miles de virus no tan difundidos. La certificación de un
producto se realiza cuatro veces al año,
sin el conocimiento del fabricante y con una versión totalmente comercial, con lo que se asegura que
la versión que se certifica es la que
recibe directamente el usuario y no una especialmente preparada para la prueba.
VALORACIÓN DE LOS DIFERENTES SISTEMAS ANTIVIRUS
Norton Internet Security 2012
Licencia:
De prueba
Idioma:

Español

Inglés

Alemán


Francés
Italiano
Tamaño:
113,0 MB
Cambios recientes:
Norton
Administración de ancho de banda
S.O.
WinXP/Vista/7
Limitaciones:

60 días de prueba
Requisitos mínimos:



Procesador: 300 MHz.
Memoria: 256 MB.
Espacio libre en disco: 200 MB.
Management







Norton Internet Security 2012 es la última versión de una suite de seguridad clásica. Consta de
antivirus,cortafuegos, protección web, medidor de rendimiento, control parental e incluso un escaner
de red sencillo. Un paquete completísimo.
En el último año, Symantec ha mejorado muchísimo el rendimiento y estabilidad del programa, algo
que se nota desde la instalación, una de las más rápidas del mercado. Norton Internet Security 2012
tarda poquísimo en desplegar su perímetro de seguridad en tu ordenador.
Seguridad que, por otro lado, aprovecha al máximo la experiencia de Symantec. El antivirus es muy
simple, pero fiable y veloz. Un cortafuegos inteligente mantiene tu red a salvo de intrusiones, mientras
que el filtro web de Norton Internet Security 2012 evita que seas presa fácil de virus, phishing y
contenido peligroso mientras navegas.
Norton Internet Security 2012 es una colección de herramientas excelentes, con abundantes opciones
y un rendimiento envidiable. ¿Su mayor defecto? La sencillez de los módulos, que puede no gustar a
los usuarios avanzados.
Pros
Actualizaciones cada 5 y 15 minutos
Detección de programas vulnerables
Diagnóstico de rendimiento vía Insight
Panel de configuración bien organizado
Instalación muy rápida
Contras
Algunos módulos se instalan aparte
Menos opciones que programas dedicados
AVG Anti-Virus Free 2012.0.1796
Licencia:
Gratis
Idioma:

Español

Inglés
Autor:
AVG |
Tamaño:
3,7 MB
Cambios recientes:
Requiere
menos
Análisis
más
Menos
Tiempo de arranque mejorado
S.O.
WinXP/Vista/7
Requisitos mínimos:



Procesador: 1,8 GHz.
Memoria: 512 MB.
Espacio libre en disco: 550 MB.
espacio
rápidos
procesos
en
en
un
disco
50%
abiertos





AVG Anti-Virus Free es un eficaz antivirus gratuito. Fue uno de los primeros en aparecer y cuenta con
una cifra de usuarios impresionante. Protege en tiempo real contra virus, spyware, rootkits, gusanos e
intentos de phishing.
Una característica muy apreciada de AVG Anti-Virus Free es LinkScanner, el módulo que comprueba
la seguridad de los resultados de búsqueda y enlaces de las páginas web. En la versión 2012 se ha
mejorado para analizar los enlaces de Facebook y MySpace, las redes sociales más conocidas.
Los análisis de AVG Anti-Virus Free se pueden lanzar de inmediato o programar para otro día y hora.
La primera vez que analices el equipo, el motor de AVG ejecutará una optimización para adaptarse al
rendimiento de tu máquina.
La versión 2012 de AVG Anti-Virus Free ha pegado un salto de calidad con respecto a la anterior.
La interfaz es mucho más atractiva y práctica, y se incluye un gadget para lanzar análisis o actualizar
AVG desde el Escritorio. Cabe decir que la velocidad de escaneo de AVG Anti-Virus Free no es para
lanzar cohetes, aunque ha mejorado bastante.
AVG Anti-Virus Free es ya un clásico de la seguridad a coste cero. Aunque su evolución ha sido
menos espectacular que la de otros paquetes de seguridad, mantiene los valores que lo han hecho
merecedor de la confianza de más de cien millones de usuarios en todo el mundo.
Pros
Agradable interfaz gráfica
Escáner de enlaces (LinkScanner)
Protección en redes sociales
Gadget para el Escritorio
Contras
La optimización de análisis es muy lenta
Kaspersky Anti-Virus
Licencia:
De prueba
Idioma:

Español
Autor:
Kaspersky Labs |
Tamaño:
139,2 MB
S.O.
WinXP/Vista/7
Limitaciones:

30 días de prueba
Requisitos mínimos:






Procesador: 300 MHz.
Memoria: 256 MB.
Espacio libre en disco: 300 MB.
Internet Explorer 6.
Conexión a Internet para la activación del producto
Microsoft Windows Installer 2.0.
Kaspersky Anti-Virus es un antivirus que realiza una excelente combinación de protección reactiva y
preventiva, protegiéndote eficazmente de virus, troyanos y todo tipo de programas malignos.







Adicionalmente, dentro del grupo de programas malignos, Kaspersky Anti-Virus 2011 también se
encarga de proteger tu Registro y todo tu sistema contra programas potencialmente peligrosos como
los spyware.
Kaspersky Anti-Virus cuenta con una merecida fama de ser uno de los antivirus que posee un mejor
análisis en 'busca y captura' de virus. Eso sí, Kaspersky realiza un análisis muy a fondo con lo que
suele tardar bastante. Soluciónalo programando el análisis en una hora en la que no necesites el PC.
En cuanto a las novedades de Kaspersky Anti-Virus, cabe destacar el Gadget para Windows 7 y
Vista, que facilita el acceso a las funciones de forma rápida y cómoda, así como la posibilidad de
instalarlo incluso en programas ya infectados.
Pros
Fácil uso con menús claros
Análisis rápido o completo
Perfil para juegos
Disco de rescate
Revisión de enlaces URL
Contras
Actualización de firmas un poco lenta
Elevado consumo de recursos
ESET NOD32 AntiVirus
Licencia:
De prueba
Idioma:

Español
Autor:
ESET |
Tamaño:
49,5 MB
S.O.
Win2000/XP/2003/Vista/7
Limitaciones:






25 días de prueba
ESET NOD32 AntiVirus es un antivirus de calidad y eficacia realmente impresionantes, con una
certeza prácticamente absoluta de que en cada una de sus versiones detectará
cualquier virus conocido y, mediante una heurística compleja, por conocer.
En conjunto ESET NOD32 AntiVirus es un antivirus de primera calidad, compitiendo entre los mejores
en la mayoría de las facetas de estos indispensables de los usuarios, aunque en la velocidad y la total
detección basa toda su potencia, destacando del resto.
Esta versión de ESET NOD32 AntiVirus se adapta a las últimas tendencias en lo que
a interfaz gráfica se refiere. La nueva interfaz, aunque en inglés, es fácil de usar a más no poder, y
cuenta con dos modos: normal y avanzado.
Pros
Heurística avanzada
Análisis muy rápidos
Consumo de memoria reducido
Protección mediante contraseña
Exportación de la configuración


Inspector de sistema y actividad
Contras
Ninguno destacable
Avira AntiVir Personal
Licencia:
Gratis
Idioma:

Español
Autor:
Avira |
Tamaño:
65,3 MB
S.O.
Win2000/XP/2003/Vista/7
Acerca de la licencia:

Es gratuito para uso no comercial. Muestra una ventana emergente cada día con publicidad
propia
Requisitos mínimos:










Procesador: 266 MHz.
Memoria: 192 MB.
Espacio libre en disco: 100 MB.
Internet Explorer 6.0.
Ante el creciente número de virus que pueden infectar tu PC y provocar pérdida de datos e incluso
obligarte a reinstalar todo el sistema, lo mejor es estar bien protegido.
Avira AntiVir Personal es un completo antivirus capaz de detectar y eliminar todo tipo de virus,
incluyendo los de macro, rootkits y troyanos.
Avira AntiVir Personal ofrece una protección segura y efectiva, vigilando en todo momento tu sistema
con un Virus Guard residente que controla los movimientos de archivos, por ejemplo cuando
descargas archivos de Internet.
La lista de definiciones de Avira AntiVir Personal se actualiza con pulsar un botón y automáticamente,
pudiendo programar el intervalo de tiempo.
Si bien no es quizá la alternativa más completa, y ofrece algún que otro falso positivo,
Avira AntiVir Personal es gratuito y su consumo de recursos es inferior a otras suites que ralentizan
considerablemente nuestro ordenador, por lo que puede ser una buena opción como antivirus
personal.
Pros
Configurable la frecuencia de las actualizaciones
Instalación ligera y personalizable
Bajo consumo de recursos (incluso analizando)
Contras
Interfaz práctica pero un poco obsoleta
Sin escáner de correo electrónico
Abundantes falsas alarmas
McAfee AntiVirus
Licencia:
De prueba
Idioma:

Español
Autor:
McAfee |
S.O.
WinXP/Vista/7
Limitaciones:

90 días de prueba
Requisitos mínimos:







Procesador: 1 GHz.
Memoria: 256 MB.
Espacio libre en disco: 200 MB.
Resolución de pantalla: 800x600.
Internet Explorer 6.
Firefox 2.
Registro gratis: Web del autor.
Requisitos recomendados:










Memoria: 512 MB.
McAfee AntiVirus Plus es mucho más que un antivirus con el que defender tu ordenador de toda clase
de malware, incluyendo virus, troyanos, gusanos o programas espías.
Con McAfee AntiVirus Plus tendrás a tu disposición es un cortafuegos que evitará cualquier ataque o
acceso no autorizado a tu equipo y protección mientras navegas con SiteAdvisor.
Y para evitar que tus documentos importantes acaben en malas manos, McAfee AntiVirus Plus
incluye la herramienta Shredder, para borrar definitivamente archivos delicados del disco duro.
Pros
Integra cortafuegos y protección de e-mail y web
Protección en tiempo real y análisis programable
Poco invasivo
Borrado permanente de archivos
Limpiador de disco
Contras
Desinstala cualquier antivirus que encuentre
Rendimiento inferior a la media
Interfaz poco usable
Icono de notificación desaprovechado
Panda Antivirus Pro 2012 11.00.00
Licencia:
De prueba
Idioma:

Español

Inglés


Portugués BR
Alemán

Francés


Italiano
Holandés

Ruso

Chino trad

Chino sim

Turco

Griego


Japonés
Polaco

Portugués PT
Autor:
Panda Security |
Tamaño:
69,5 MB
S.O.
WinXP/Vista/7
Limitaciones:

30 días de prueba
Requisitos mínimos:





Procesador: 300 MHz.
Memoria: 128 MB.
Espacio libre en disco: 265 MB.
Internet Explorer 6.0.
Firefox 2.
Requisitos recomendados:











Memoria: 1 GB MB
Panda Antivirus es un antivirus ligero, especialmente diseñada para proteger tu ordenador de la forma
más fácil. Con él estarás a salvo de virus, spyware y fraudes.
Panda Antivirus detecta y elimina automáticamente todo tipo de virus, gusanos y troyanos, incluso los
más novedosos y que usan las técnicas más avanzadas de ocultación, manteniendo limpio tu PC en
todo momento.
Además, Panda Antivirus permite navegar por Internet, enviar y recibir correos, jugar, descargar
archivos, chatear sin miedo a virus, gracias al cortafuegos, el modo de navegación segura y el gestor
de redes.
Panda Antivirus también localiza y elimina todo tipo de spyware y otros molestos programas que se
instalan sin tu permiso en el ordenador, mientras protege tu conexión mediante un completo y poco
intrusivo cortafuegos y mantiene tus datos personales a buen recaudo de estafas por Internet.
Pros
Excelente motor de detección
Cortafuegos y gestor de red doméstica
Modo juego y multimedia
El instalador detecta programas conflictivos
Modo de navegación segura
Inteligencia colectiva basada en Panda Cloud
Panda USB Vaccine
Contras
La instalación requiere varios reinicios
Interfaz poco atractiva
Incompatible con otros antivirus
REFERENCIAS BIBLIOGRÁFICAS
1.
Pereira
JE
¿Sabías
qué
es
un
virus?
Disponible
en:
http://www.toptutoriales.com/underground/virus/virus2.htm# Acceso: 10 de enero
del 2003.
2.
Periodismo
en
Internet.
Suplemento
Informática
2.0.
Disponible
en:
http://old.clarin.com/suplementos/informatica/2003/04/23/f549045.htm Acceso: 10 de enero del 2003.
3.
Mansón
M.
Estudio
sobre
virus
informáticos.
Disponible
en:
http:
http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml
Acceso: 10 de enero del 2003.
4. López JL. ¿Cuál antivirus elegir? Disponible en: http://www.vsantivirus.com/comparativa.htm
Acceso: 10 de enero del 2003.
5. Moreno Pérez A. Conozca los distintos antivirus. Disponible en: http://www.vsantivirus.com/amconozcaav.htm Acceso: 10 de enero
del 2003.
6. Programas antivirus McAfee VirusScan 95 v3, Norton Antivirus 4.0, Panda Antivirus 5.0, Antivirus
Anyware, F-PROT Professional 3.01,
ThunderByte
Antivirus 8.03
y
Dr.
Solomon's
Anti-Virus
Toolkit.
Disponible
en:
http://www.idg.es/pcworld/articulo.asp?id=46864 Acceso:
10 de enero del 2003.
7. Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus Abril 2001. Disponible en:
http://www.hispasec.com Acceso: 10 de
enero del 2003.
8. Contreras Mejuto G. Antivirus: no salga a Internet sin ellos F-Secure Anti-Virus 5.0, McAfee
VirusScan 5.15, Norman Virus Control 5.0,
Panda Antivirus Platinum 6.0, Symantec Norton Antivirus 2001, Sophos Anti-Virus Febrero 2001 y
Trend Micro PC-cillin 7.5. Disponible
en: http://www.idg.es/pcworld/articulo.asp?id=119462 Acceso: 10 de enero del 2003.
9.
Fiestero
C.
Comparativa
antivirus
para
Space
Saturn.
Disponible
en:
http://www.terra.es/personal/spsaturn/pr-Cmp_Sp1.htm Acceso:
6 de febrero del 2003.
10.
Comparativas
software
anti-virus.
Diciembre
2002.
Disponible
en:
http://www.virusprot.com/Companti.html#Diciembre2002 Acceso: 6
de febrero del 2003.
11. CIAO. Comparaciones. El mejor software anti-virus [Sitio en Internet] Disponible en:
http://www.ciao.es/ranking/El_Mejor_Software_Anti-Virus.html Acceso: 6 de febrero del 2003.
12. AVG Antivirus. Disponible en: http://ciudadfutura.com/mundopc/freeware/articulos/avg/avg1.htm
Acceso: 2 de febrero del 2003.
Recibido: 7 de julio del 2003. Aprobado: 20 de julio del 2003
Lic. Luis Armas Montesino. Director Centro Territorial de Información de Ciencias Médicas, Artemisa,
La Habana.
Hospital General Docente "Ciro Redondo" Calle 33 e/ 24 y 26, Artemisa, La Habana, Cuba.
13 Norton Antivirus, McAfee, AVP y Avira, ESET NOD32,
Panda y Kaspersky
http://www.antivirus.softonic.com
Related documents
Antivirus que funcionan arrancando desde el CD
Antivirus que funcionan arrancando desde el CD
McAfee VirusScan Plus - Software antivirus, seguridad en Internet
McAfee VirusScan Plus - Software antivirus, seguridad en Internet
Configuración de tu cuenta de correo de Yahoo! En - Inguralde
Configuración de tu cuenta de correo de Yahoo! En - Inguralde
Manual del usuario
Manual del usuario
C AntiVir Personal Edition
C AntiVir Personal Edition
Avira AntiVir® SharePoint
Avira AntiVir® SharePoint
Conozca los distintos antivirus
Conozca los distintos antivirus
TOOLS ANTIVIRUS
TOOLS ANTIVIRUS
Panorama Actual de los Distintos Antivirus
Panorama Actual de los Distintos Antivirus
User Manual
User Manual
Interesante artículo
Interesante artículo
Virus Características Forma de limpieza
Virus Características Forma de limpieza
trabajo de introduccion a la informatica integrante
trabajo de introduccion a la informatica integrante
Panda Antivirus Profesional 1 Licencia x 1 Año
Panda Antivirus Profesional 1 Licencia x 1 Año
McAfee® VirusScan® Plus
McAfee® VirusScan® Plus
McAfee PC Protection Plus
McAfee PC Protection Plus
McAfee® VirusScan® Plus
McAfee® VirusScan® Plus
Manual del usuario
Manual del usuario
Presentation (spanish)
Presentation (spanish)
Avira AntiVir Premium
Avira AntiVir Premium
Informe Técnico Previo de Evaluación del Software N °002
Informe Técnico Previo de Evaluación del Software N °002
El mejor antivirus del mundo. Ingeniería Social
El mejor antivirus del mundo. Ingeniería Social