Virus en el directorio System Volume Information de Windows XP en miércoles, junio 24, 2009

Sumario:

Cuando ejecuta un análisis con un antivirus, se puede recibir un informe indicando que uno o más archivos en las carpetas System Volume Information contienen un virus o están infectados con un virus. También es posible que el antivirus indique que no es capaz de eliminar el virus del archivo o archivos.

Descripción detallada:

Es necesario eliminar manualmente los archivos infectados encontrados en la carpeta C:\System Volume Information_Restore, que son parte de la copia de seguridad de Windows XP backup (estas copias de seguridad fueron creadas cuando el sistema estaba infectado).
El directorio System Volume Information es un directorio de sistema oculto que el servicio de Restaurar Sistema utiliza para almacenar información y puntos de restauración.
Existe un directorio de System Volume Information en cada partición de su ordenador. Ninguna aplicación excepto el servicio Restaurar Sistema tiene permiso para acceder a este directorio.
Para poder eliminar el contenido infectado de este directorio es necesario seguir estos pasos:

1. Clic derecho en el icono Mi PC del Escritorio y clic en Propiedades;
2. Clic en la pestaña Restaurar Sistema;
3. Seleccionar cada partición y:

a) clic en Configuración;
b) Mover el desplazador hasta el mínimo;
c) Hacer clic en Aceptar y aceptar la confirmación eventual;

4. Marcar la casilla Desactivar Restaurar Sistema en todas las particiones;
5. Hacer clic en el botón Aceptar;
6. Se le solicitará reiniciar el equipo. Haga clic en Sí.

Cuando se desactiva Restaurar Sistema el contenido del directorio es automáticamente eliminado, incluyendo los archivos infectados. Después de reiniciar puede volver a activar el servicio Restaurar Sistema en caso de que lo desee.

Detectar virus en procesos activos de Windows en martes, junio 23, 2009

Otra de las maneras para limpiar nuestras maquinas, y detectar infecciones, virus, etc. aparte de usar un programa antivirus y programas anti espías, es la posibilidad de inspeccionar los procesos activos del sistema operativo.

 

La utilidad MSconfig

MSconfig es una utilidad que viene con Windows y que nos permite modificar muchas cosas del arranque de nuestro ordenador. Para acceder a ella hacemos click en el botón de Inicio y luego en Ejecutar. En la ventana de Ejecutar escribimos msconfig y pulsamos en aceptar.

Ejecutar msconfig (click para ampliar)

Veremos una ventana con distintas pestañas, nos dirigimos a la que pone Inicio

Msconfig/Inicio (click para ampliar)

En esa pestaña están (marcados con ) todos los elementos que Windows carga al iniciarse.

Hay tres columnas con información sobre cada archivo de las cuales nos interesarán por ahora las dos primeras: el nombre del elemento de inicio y el comando.

En elemento de inicio es el nombre con el que se identifica ese elemento. Muchos virus se apropian de nombres de elementos conocidos para hacerse pasar por ellos cuando en realidad hacen labores muy distintas. Por eso es importante observar la columna de comando que nos informa del archivo o archivos que se ejecutan al arrancar Windows y en ocasiones de su ubicación. Esto lo veremos más detenidamente en la siguiente parte, con un ejemplo práctico.

Si queremos que Windows no cargue un elemento en concreto hacemos click en su casilla y lo dejamos sin marcar. Si posteriormente queremos que ese mismo elemento se cargue de nuevo volveríamos a abrir msconfig y lo marcaríamos otra vez.

Cada vez que hagamos cambios en msconfig tendremos que reiniciar el ordenador para que tengan efecto. De hecho al hacer cambios y click en aceptar nos saldrá el siguiente mensaje:

mensaje reiniciar (click para ampliar)

La siguiente vez que arranquemos Windows, nos saldrá un mensaje avisándonos de que hemos realizado cambios en el sistema.

Estos procesos, son programas que se cargan de manera secundaria al inicio de Windows XP. (ejemplo: cargan los controladores de video, sonido, ejecutar nuestro antivirus, el Windows live Messenger, etc).

Para acceder a ellos, y visualizar o desactivarlos, haremos clic en el botón inicio, luego en ejecutar… también podemos presionar la tecla (obvio en el teclado) con el logotipo de Windows de nuestro teclado, + la tecla R (Run/ejecutar). Cuando se abra la ventana, escriben msconfig y presionan Enter, en la nueva ventana, introducen en la pestana inicio, y podrán visualizar los procesos activos. No es fácil saber cuál es el proceso activo propio del sistema, o cual es un virus, por tal motivo anexo un link del servidor de descarga, Rapidshare, donde pueden descargar una lista de programas propios de Windows XP y Vista. Tip: Los programas pueden ser archivos .exe cargados en la carpeta C:\Windows\system 32. También procesos activos que no tienen nombre, es decir, son invisibles. Otros suelen intercambiar letras de procesos conocidos de Windows como csrss.exe, son muchos ejemplos, solo la experiencia y probar, les garantizará un sistema óptimo.

Además, anexo un manual, para utilizar una herramienta muy poderosa, como lo es combofix, una iniciativa propia de la gente de www.bleepingcomputer.com quienes diseñaron un pack, con rutinas para eliminar virus que normalmente nuestro antivirus no eliminaría. Tal es el caso de los troyanos. La desventajas del combofix, es que debemos descargarlo cada 7 días (recuerden que sale muchos virus nuevos todos los días), ya que si el combofix, esta desactualizado, solo correrá en modo reducido y no limpiara eficientemente nuestras PC. También, dependiendo del grado de contaminación, podrá reiniciar nuestras PC. Solo estudien el manual, y quizás el combofix que descarguen no esté en español, pero prácticamente lo que deben de hacer al iniciarlo es darle en aceptar o en iniciar. Les enviará advertencias sobre que han detectado un programa antivirus activo, el cual obviamente podrá detectar al combofix como virus, ya que son rutinas de Visual Basic (scripts). Desactiven sus antivirus; la manera más fácil es darle clic derecho en el icono cerca de la hora del sistema, y buscar una opción que diga activar o desactivar, cerrar, etc… sino lo consiguen reinicien su máquina a modo a prueba de fallos, antes de cargan Windows, presionen muchas veces la tecla F8, y seleccionen la opción modo a prueba de fallos.

Pantalla Modo a Prueba de fallos (clic para agrandar)

Luego al reiniciar hacen todo lo del manual del Combofix. se que es algo complejo, pero en realidad pueden cuidar mucho su preciosa PC o Laptop.

- Descargar Manual de Combofix, y lista de procesos hagan clic aqui
- Descargar Combofix hagan clic aquí

Desocultar archivos o carpetas de un pendrive anteriormente infectado en jueves, junio 18, 2009

Existen virus de PC, (como el VB.DS, de tipo troyano) que, aparte de cambiar nuestras propiedades de sistema de archivos de Windows (ocultar archivos de sistema, entre otros), ocultan además, archivos y carpetas de un pendrive o de nuestro disco duro, sin poder modificar sus propiedades desde Windows. Ocurre en muchos casos de personas que ven infectados sus pendrives, creen que los virus les borro TODOS los archivos, cuando en realidad, los archivos permanecen en el pendrive, con la propiedad de "oculto". Digamos que, al cambiar las propiedades para ver archivos ocultos y de sistema (tema ya abordado en una entrada de blog anterior) y si la PC esta limpia, podremos ver nuestros documentos. Pero... ¿que pasa si quiere "Desocultarlos"?, es decir, quitarle la propiedad de oculto. A través de un simple clic derecho en el archivo (o carpeta), ingresar a propiedades. Oh, sorpresa, en el extremo inferior, aparece la propiedad oculta, marcada, pero inaccesible (en color gris), no pudiendo obviamente normalizar este. Tu opción más lógica sería, abrir el documento, copiar todo en un nuevo documento y volver a guardar. Pero ¿que sucede si se trata de 100, 500 o muchos mas archivos? ¿harás lo mismo con cada archivo? pues te saldrán raíces amigo (a).
Afortunadamente, no todo esta perdido; puedes echar mano, del antiguo, arcaico, pero útil sistema operativo MS-DOS. Basta con ingresar al botón inicio desde Windows, ingresar en ejecutar, y escribir cmd pulsar Enter, y abriremos la interfaz de comandos de nuestro MS-DOS. De inmediato, montaremos nuestra unidad, es decir, cambiaremos de directorio. Comúnmente, esta en "C:\Document and settings\nombre de usuario\>" ahí escribimos la unidad de pendrive mas dos puntos (por ejemplo, x:) donde equis será la unidad de tu pendrive, puede variar, desde E: a Z:, una vez que la montes, por ejemplo k: escribes attrib -h -r -s seguido del nombre del archivo a desbloquear. por ejemplo, un documento llamado trabajo. doc, lo desbloquearemos así: k:\>attrib -h -r -s trabajo.doc pulsamos Enter, esperamos unos segundos, y listo, tu archivo será "desocultado" puedes verificarlo desde el icono de "Mi PC" en el escritorio de Windows.

Ah, muy bien, excelente, pero la cosa no era para todos mis archivos o carpetas. Si, solo debes modificar el nombre del archivo, por la instrucción "/S" (sin las comillas). Para la misma unidad de ejemplo, quedaría así: k:\>attrib -h -r -s /s .Así en varios minutos, dependiendo del tamaño de tu pendrive, y de la cantidad de archivos, se desocultara, cada archivo del pendrive. También, es valido, para archivos dentro de una carpeta y subcarpetas. solo debemos ingresar a la carpeta, con el comando "cd" ejemplo: k:\> cd mis trabajos, y quedará así: k:\mis trabajos> así que solo ejecutarías de nuevo: k:\mis trabajos>attrib -h -r -s /s (nota: la entrada /s desbloquea carpetas y subcarpetas), Puedes verlo en el siguiente link de mi creación:

http://www.youtube.com/watch?v=o_sDgkgQ2ms

Espero les sea de utilidad.

Primeros pasos para combatir los virus en pendrives en lunes, junio 15, 2009

Ante la crisis de los antivirus, incapaces de eliminar el 100% de los virus en PC, laptops y pendrives, hice un pequeño tutorial para desinfectar nuestros pendrives, aplicable a memorias de celulares, discos duros portátiles, ipod, mp4, etc.

Primero, deben cambiar las propiedades por defecto de su sistema operativo, para este caso será Windows XP. (si su maquina esta desinfectada, lo hará, sino, ni modo). Deben hace doble clic en Mi PC, en mis documentos, o en el explorador de Windows, que para el fin, es lo mismo, y entrar en el menú herramientas, luego en opciones de carpeta, y en la pestaña ver, deben cambiar la opción a mostrar todos los archivos y carpetas ocultos, luego mas abajo, desmarquen las opciones, ocultar extensiones no conocidas y ocultar archivos de sistema, tal como se puede apreciar en el video del link:

http://www.youtube.com/watch?v=8lhMmUgqEBg

Posteriormente pueden crear en sus pendrives, algunos archivos con el bloc de notas, haciendo clic derecho en el pendrive, opción "nuevo" y seleccionar "documento de texto". escriben recycler, sin extensión, es decir, quitando la parte de ".txt" saldrá una pantalla que advierte que si cambia la extensión, podría dañarse el archivo, solo denle en sí. Se creará un archivo sin extensión. Posteriormente creen una carpeta nueva, con el nombre de autorun.inf. ver el siguiente enlace:

http://www.youtube.com/watch?v=y9F63Ivjydc

Con esto evitaran que se creen en su pendrive, archivos como el autorun.inf que ejecutara el virus que se copia en la carpeta recycler. Advertencia, la carpeta Recycler en el disco duro, no es un virus, es parte del S.O. Les recomiendo borrar todos los archivos semitransparentes de un pendrive, luego de pasarles el respectivo antivirus, pero jamás, abran desde el menú del asistente que aparece al insertar el pendrive. Mejor ingresen a mi Pc, o explorador de windows. Un Tip: por cada carpeta de "virus" que se copie en el pendrive, creen un archivo sin extensión como el recycler, es decir, si se copia una carpeta de virus llamada "driver" creen un archivo llamado driver sin extensión, con la opcion nuevo documento de texto. Por otra parte, si se copian archivos traslucidos, como por ejemplo, "Q9.cmd", creen una carpeta con ese nombre exacto sin las comillas claro, (tal cual como el archivo autorun.inf) así evitaran que su pendrive se infecte de al menos una gran cantidad de virus.

Tambien pueden borrar archivos traslucidos de disco local c: o d: etc, pero solo algunos, como autorun.inf, o cualquiera q tenga extensión .exe. no borren archivos ntdlr ni autoexec.bat ya que son del sistema operativo.