DETECCION Y ELIMINACION

DE VIRUS.
MODALIDAD DE DETECCION Y ELIMINACION.

POR

LUIS ESTEBAN ACORDINO

 INTRODUCCION

Antes que nada debo aclarar que esta guía corresponde a un criterio personal de
trabajo para la detección y eliminación de los virus, por ende, no significa que este sea
la pauta de trabajo correcto, sino una de las tantas formas de trabajar previo a llegar al
formateo del equipo.

Lo publicado aquí, es de mi propiedad, no es resumen de otros trabajos, sino un vuelco

de información de mis conocimientos por lo cual, su reproducción es viable siempre y
cuando mi persona sea acreditada por la publicación de este documento.

Gracias a todos por leer y espero que les sea útil.

 COMO DETECTAMOS UN VIRUS

El proceso de detección de virus, muchas veces requiere de un “ojo” mas alla del
software que tenemos en nuestro equipo. Es sabido que últimamente los agentes que
tenemos para protegernos de ataques flaquean demasiado y por mas que hayamos
pagado una buena suma de dinero o hayamos conseguido gratis nuestro soft, vale
destacar que algunos virus se encuentran escondidos y ajenos a la búsqueda del
antivirus que poseamos, lo que nos lleva a tener un intruso dentro del equipo y sin
darnos cuenta, puede estar ahí varios meses.

La particularidad de estas infecciones dependen del nivel de ataque que tengan, es

decir, los virus se caracterizan por tener un fin en especial y es lo que los lleva a
trabajar de distintas maneras, por ejemplo, que algunos residan en el equipo, se
reproduzcan en multiples archivos y solo estos perjudiquen nuestro sistema
“comiendo” espacio en el disco, nada dañino, pero si molesto.

Por ende, veamos una tabla de lo que según mi criterio (es mi punto de vista, el de
uds. Puede variar mucho y esta bien que asi lo sea), los virus pueden ocasionar:

- Nivel Basico
o Generación de pop-ups por medio de visitas a paginas webs X
o Imposibilidad de cambio de pagina inicial (o constante cambio de ella)
o Reproduccion de archivos obsoletos (crear muchos archivos inútiles)
o Reproduccion de su misma infección (residencia en la RAM)
o Reinicio constante del equipo
- Nivel Medio
o Imposibilidad de conexión (millones de bytes enviados y recibidos,
comportamiento inestable de internet)
o Imposibilidad de acceso a antivirus, antispyware, etc (no se pueden
ejecutar los programas)
o Desconfiguracion de periféricos o Instalacion de periféricos
desconocidos
o Bloqueos de inicio de sesión
o Bloqueos de sectores de booteo en disco
- Nivel Avanzado
o Daño físico en disco (sectores irrecuperables)
o Recalentamiento de microprocesador (inicio de multiples tareas)
o Backdoors irremovibles (puertas abiertas para accesos remotos que van
cambiando de lugar en el sistema)

Si bien estas son algunas de las características de las que di a reconocer, existen otras
tantas por descubrir.
Casi siempre vamos a detectar un virus por su comportamiento mas que por la
ventana emergente del antivirus, comportamientos ilógicos del sistema operativo.

Algunas veces seremos incapaces de encontrar el porque, pero es bueno poder

encontrar un método de detección y un método de trabajo para desinfectarnos del
mismo. Vamos a la practica.
 COMO DETECTAR EL VIRUS. PRACTICA

Es bueno tener en cuenta y saber hacer un proceso de eliminación. Este se basa en el

método científico, es decir, en el método de prueba y error. Partimos de diferentes
hipótesis sobre la aparición del virus, testeamos cada hipótesis, si el virus ha sido
eliminado, entonces encontramos la hipótesis correcta y sino, seguiremos probando
hasta dar con la solución.

Para algunos, es mas practico formatear el equipo completo y resolver el problema

“por las malas” ya que muchas veces encontrar la solución, puede llevarnos un buen
tiempo y perderlo, puede costarnos caro (estoy hablando por ejemplo, de casos en
que arreglamos maquinas de clientes).

Para mi es poco practico formatear el equipo sin conocer su verdadera solución, ya

que si nos topamos con un usuario poco experto en la utilización del mismo y el virus
aparece por cada sesión de revisión, entonces el disco puede llegar a dañarse por su
continuo trabajo de reinicio y escrituras de datos por lo que a la larga, la vitalidad del
disco empieza a reducirse.

Siguiendo con la detección del virus, podemos empezar a crear hipótesis de trabajo y
detección del mismo. Entonces, partamos de una base:

DETECCION DE VIRUS COMPORTAMIENTO ACCION DE ANTIVIRUS

SI EL EQUIPO NO INICIA NINGUNA, NO LLEGO A
CORRECTAMENTE ACTIVARSE SU FUNCION
SI EL EQUIPO SE ENCUENTRA DETECTA EL ANTIVIRUS
LENTO
SI EL EQUIPO ABRE NO DETECTA
VENTANAS EMERGENTES
O PIDE INSTALACIONES DE
PROGRAMAS
NO EL EQUIPO SE ENCUENTRA EL ANTIVIRUS NO CARGA,
CON FUNCIONES OCULTAS SE CIERRA
QUE DEMORAN LA AUTOMATICAMENTE.
FUNCIONALIDAD OPTIMA
DE INTERNET Y OTROS
PROGRAMAS
Podemos llegar a una conclusión entonces.

Si queremos obtener un método de eliminación del virus, primero veamos que es lo

que hace, luego, ir probando opciónes de eliminación y obtendremos la solución
mediante la eliminación de los procesos obsoletos (que no funcionaron).

Practicamente deberíamos empezar a preguntarnos lo siguiente:

 - donde es que empieza el problema?;
- el problema es constante?;
- de donde provino o desde donde o cuando se origino?;

Aca tenemos una base desde donde partir y es la de analizar el comportamiento del
equipo, a todo esto, no estamos dando interés al antivirus y estamos optando por la
“manualidad” de la detección.

Entonces lo mejor que podemos hacer es pasar a explicar como seria un proceso
normal desde que prendimos el equipo hasta que tenemos el sistema operativo
cargado, pasando por la posible fallas que podemos encontrar.
 DETECCION Y ELIMINACION DEL VIRUS.

CASO 1.
- Encendemos el equipo
- Carga del sistema
- Crasheo del mismo
- Se reinicia el equipo y vuelve a crashear (se cae)
- Pantalla de F8 para iniciar en modo normal, a prueba de fallos, etc…

Posible solución: INICIO EN MODO A PRUEBA DE FALLOS

Reporte: EL SISTEMA OPERATIVO CARGO BIEN, A PESAR DE QUE CARGO LO BASICO

Solucion: EN MODO A PRUEBA DE FALLOS:

- PASAR EL ANTIVIRUS,
- LIMPIADORES DE REGISTRO,
- ANTISPYWARES,
- REVISAR “MSCONFIG” (INICIO-EJECUTAR-MSCONFIG) Y ELIMINAR ENTRADAS
OBSOLETAS
- SI CONOCEMOS EL NOMBRE DEL VIRUS O ERROR (POR EJEMPLO,
FIREFOXXXXXX.EXE), EJECUTAR EL REGEDIT Y BUSCAR EL NOMBRE DEL
ARCHIVO PARA ELIMINAR LA ENTRADA DEL MISMO.
- REINICIAR NORMALMENTE

Solucion 2: EN MODO A PRUEBA DE FALLOS

- REPETIR ANTERIORES PASOS

- REINICIAR
- EL CRASHEO VUELVE A REPETIRSE
- FORMATEAR Y REINSTALAR EL EQUIPO CON “FORMATEO COMPLETO”

CASO 2.
- Encendemos el equipo
- Carga del sistema
- Dentro de Windows, el antivirus detecta extensiones *.tmp que se cargan y que
contienen backdoors o spyware
- El programa procede a eliminarlo, pero luego de unos minutos, vuelve a
aparecer el mismo problema

Posible solución: INICIO EN MODO A PRUEBA DE FALLOS

Reporte: EL SISTEMA OPERATIVO CARGO SIN PROBLEMAS

Solucion:

- PASAR ANTIVIRUS
- PASAR ANTISPYWARE
- LIMPIADOR DE REGISTROS
- LIMPIAR MANUALMENTE, CARPETAS DE TEMPORALES (DENTRO DE USUARIOS
Y DENTRO DE WINDOWS\TEMP)
- REVISAR ENTRADAS EN MSCONFIG Y REGEDIT

CASO 3.
- Encendemos el equipo
- Carga sistema operativo
- Se encuentra un virus que abre constantemente pop-ups o que cambia nuestra
pagina de inicio constantemente

Posible solución: BUSCAR EN MSCONFIG LAS ENTRADAS EXTRAÑAS O ANOTAR LAS

PAGINAS DE POP-UPS QUE APARECEN.

Reporte: SPYWARE EN LA MAQUINA.

Solucion:

- Ejecutar el sistema en modo a prueba de fallos

- Limpiar registros e inicio
- Correr programa antispyware en modo completo
- Correr antivirus
- Reiniciar en modo normal

CASO 4.
- Encendemos el equipo
- Carga sistema operativo
- Se encuentra virus que crea dispositivos fantasmas e internet se vuelve
inutilizable, dentro de las propiedades de la red, encontramos que los los bytes
enviados y recibidos van en aumento y superan el millón

Posible solución: BUSCAR EN MSCONFIG Y REGEDIT EL PROBLEMA, EJECUTAR EN

MODO A PRUEBA DE FALLOS O LA REINSTALACION DEL EQUIPO

Reporte: VIRUS EN LA MAQUINA RESIDENTE EN SYSTEM32

Solucion:

- Ejecutar en modo a prueba de fallos

 - Limpiar registros
- Limpiar inicio
- Ejecutar antivirus y antispywares
- Reiniciar el equipo normalmente
- Si el problema persiste:
o Correr el MINIPE o algún programa o CD booteable para extraer la
información del equipo (también puede ser un modo a prueba de fallos)
o Correr el equipo con disco de Windows
o Saltar la corrección del sistema residente
o En la parte de detección de particiones, eliminar todas
o Dejar el disco sin partición
o Apagar el equipo y desconectarlo de corriente (cable) por 20”
(segundos)
o Volver a enchufar
o Correr disco
o Armar particiones
o Formateo completo (rápido no)

CONCLUSIONES.
Si bien como ya les anticipe a veces debemos llegar a el formateo del equipo, suele ser
nuestra ultima opción para eliminar el virus residente que por medios de trabajo de
“cirujano” nos fue imposible sacar.

La intención de esta guía, es ahorrarles mas que nada el trabajo de perder información
que luego deberán salvar ya que muchas veces cuando uno hace el backup, no lo hace
al 100% y debe configurar todo desde 0 a razón de que muchas cosas también se
pierdan en el camino.

Entonces podemos llegar a la siguiente conclusión:

- Para eliminar un virus, debemos primero investigar sobre el mismo,

- revisar entradas obsoletas,
- buscar información sobre el mismo luego de haber anotado en algún lado cual
es el nombre del error extraño que aparece en el antivirus, en el mensaje de
error o en las mismas entradas de REGEDIT o MSCONFIG,
- ejecutar el modo a prueba de fallos es muy útil para que estas entradas no se
carguen y poder eliminarlas fácilmente
- formatear como ultima herramienta de intervención

Espero que la guía les sea útil.

Saludos.-