FAQs de Virus, Spywares y Herramientas de Seguridad

FAQs de Virus, Spywares y Herramientas de Seguridad

Hola a todos, la idea de estas FAQs (Preguntas Frecuentes) es crear una base de datos con las preguntas y las respuestas mas frecuentes acerca de infecciones, manejo de Antivirus, Antispywares y/o Firewalls.

Las FAQs están abiertas a que cualquier usuario pueda aportar algo siguiendo este esquema.

Nombre y/o Descripción del Problema/Antivirus/Antispywares/Firewall

Pregunta: <- ¿Aquí se escribe la pregunta?

Respuesta: <- Aquí se escribe la respuesta

Indice

1. ¿Por qué el svchost me consume el 99% o 100% de CPU?
2. Svchost.exe se ejecuta muchas veces en el Administrador de Tareas
3. Mi antivirus encuentra infecciones en la carpeta _restore y no puedo eliminarlas
4. El Proceso inactivo “consume” mucho CPU
5. Me aparecen mensajes de Messenger Service
6. El Administrador de Tareas ha sido deshabilitado por el Administrador
7. El administrador ha deshabilitado la modificación del Registro
8. No puedo activar la opción Ver Archivos Ocultos
9. ¿Cuál es el mejor Antivirus/Antispyware/Firewall gratuito?
10. Mi antivirus detecta infecciones en la caché de Java
11. No puedo habilitar el Firewall de Windows
12. Mi página de inicio ha sido cambiada/bloqueada y no puedo cambiarla/desbloquearla
13. Mi antivirus detecta como infección a totour.exe y no puede eliminarlo
14. Me aparecen ventanas de publicidad, popups, ventanas emergentes ¿Cómo puedo eliminarlas?
15. ¿Virus en el MSN Messenger?
16. ¿Qué es el Tea Timer y como lo activo/desactivo?
17. Al insertar mi memoria USB o CD-ROM no aparece el menú de opciones de ejecución
18. AVG me detecta que el archivo shell32 ha cambiado (the shell32.dll file in windows has changed)
19. No puedo iniciar en Modo Seguro en Windows XP
20. ¿Cómo eliminar el gusano Conficker / Downadup?

Archivo svchost.exe

Pregunta: ¿Por qué el svchost me consume el 99% o 100% de CPU?

Respuesta: Este problema sucede cuando hay actualizaciones de Windows pendientes de instalación. Al tener las Actualizaciones Automáticas configuradas para que inicien con el sistema y al ser svchost un archivo que se encarga de varios servicios a la vez, svchost.exe se enlazará al archivo wuauclt.exe de manera que se establece una conexión con los servidores de Microsoft, y si encontrase actualizaciones pendientes de descarga, realiza peticiones de descarga, lo que motiva el consumo excesivo de recursos.

Actualmente Microsoft ha publicado un parche que soluciona este problema, lo puede descargar de este enlace, aunque también estará disponible como actualización automática.

Enlaces de interés:

• Enlace 1
• Enlace 2

Archivo svchost.exe

Pregunta: Svchost.exe se ejecuta muchas veces en el Administrador de Tareas ¿esto es normal? ¿estoy infectado?

Respuesta: Empecemos por mencionar que la ubicación correcta del archivo svchost.exe es:

X:\Windows\system32\svchost.exe <-- Windows 2000 y XP
X:\winnt\system32\svchost.exe <-- Windows 2003

Donde X es la unidad donde se encuentra instalado el sistema operativo (en la mayoría de los casos C).
Si svchost.exe estuviera en una ubicación distinta podremos sospechar de una infección y para descartar que este archivo se encuentre infectado podemos subirlo a la página de VirusTotal donde se analizará el archivo con distintos motores de antivirus.

Tras este preámbulo, necesario por cierto, respondamos la pregunta inicial. Es normal que svchost.exe se ejecute varias veces en el Administrador de Tareas ya que este proceso se encarga de diversos servicios del sistema. Siempre y cuando no se encuentre en una ubicación distinta a la ya mencionada no hay de que preocuparse.

Enlaces de interés:

http://support.microsoft.com/default...d=kb;es;314056

Carpeta _restore

Pregunta: Mi antivirus encuentra infecciones en la carpeta _restore y no puedo eliminarlas

Respuesta: Si lo que detecta su antivirus se encuentra en la carpeta "Restore" eso quiere decir que ya se ha eliminado la infección, pero ahora se encuentra en una sección llamada “Punto de restauración”, al ser esta una sección protegida por el sistema dificulta la eliminación de los archivos contenidas en esta sección.

Para poder solucionar este problema debemos apagar el "Restaurar Sistema" y luego reiniciar la máquina, después volver a activar la restauración del sistema y reiniciar nuevamente el sistema. Con esta acción estaremos eliminando todos los puntos de restauración del sistema.

Enlace de interés:
http://es.wikipedia.org/wiki/Restaurar_Sistema

Proceso inactivo del sistema

Pregunta: El Proceso inactivo “consume” mucho CPU ¿esto es normal?

Respuesta: El Proceso inactivo del sistema, es justamente eso, la inactividad del sistema, por ejemplo si el programa A consume 10% y el programa B consume 30% de los recursos del sistema, quedará 60% de inactividad del sistema. No hay de que preocuparse, mientras mas inactividad del sistema haya, nuestro sistema andará mas ligero, por decirlo de alguna manera.

Enlace de interés:

http://es.wikipedia.org/wiki/Proceso...ivo_de_sistema

Messenger Service

Pregunta: Me aparecen mensajes de Messenger Service ¿Cómo hago para eliminarlos?

Respuesta: Si aparece en su sistema mensajes similares a este:



Se trata del Messenger Service, este es un servicio de Windows cuya vulnerabilidad ha sido aprovechada por los spammers para enviar sus anuncios.

Para dejar de recibir estos mensajes debemos deshabilitar el servicio de Mensajero de esta manera:

- Clic en INICIO-->EJECUTAR, escribir services.msc y presionar la tecla Enter.

- En esta sección buscamos el servicio llamado Mensajero, le damos doble clic y presionamos el botón Detener. Luego en Tipo de inicio seleccionamos la opción Deshabilitado y luego presionamos el botón Aceptar.

Enlace de interés:

http://support.microsoft.com/default...d=KB;es;330904

Administrador de Tareas

Pregunta: El Administrador de Tareas ha sido deshabilitado por el Administrador ¿Cómo puedo habilitarlo nuevamente?

Respuesta: Este problema puede ser debido a la manipulación de la configuración del sistema, aunque también puede ser a causa de infecciones. Puede habilitarse el Administrador de Tareas con algunas de estas opciones según sea el caso:

Opción 1
- Clic en Inicio--> Ejecutar, escribir regedit y presionar la tecla Enter.
- Dirigirse a esta ruta:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System

- En esta sección veremos un valor con el nombre DisableTaskMgr, hacemos doble clic sobre él, si tiene un 1 es porque está deshabilitado, si le ponemos un 0 debería habilitarlo.

- Después de esto reiniciamos la máquina y verificar los resultados.

Opción 2
- Clic a Inicio ->Ejecutar escribir "GPEDIT.MSC"
- En la sección “Configuración de usuario” ir a Plantillas administrativas--> Sistema--> Opciones de ctrl+alt+supr, hacemos doble clic en "Quitar administrador de tareas", dejamos en opción de Habilitada, luego presionamos el botón Aceptar y listo.

Opción 3 (Recomendado)
Existe una herramienta gratuita llamada xp_taskmgrenab.exe que es capaz de Habilitar / Deshabilitar el Administrador de Tareas de manera automática, evitando así cambiar valores en el registro o sistema pudiendo causar errores. Descargue y ejecute esta herramienta para poder solucionar este problema

Tras habilitar el Administrador de Tareas es recomendable analizar el sistema con su antivirus y un par de Antivirus Online, ya que en la mayoría de los casos este problema es causado por una infección.

Regedit

Pregunta: El administrador ha deshabilitado la modificación del Registro ¿Cómo puedo volver a habilitarlo?

Respuesta: Este problema puede ser causado por alguna infección, como también puede haberse cambiado de manera voluntaria.

Para habilitar esta opción usaremos la herramienta Hijackthis, la ejecutamos siguiendo los pasos de su manual, buscamos y seleccionamos estas entradas:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Una vez seleccionadas presionamos el botón Fix Checked para poder reparar el inconveniente, luego reiniciamos el sistema y verificamos los resultados.

Tras estos pasos es recomendable analizar el sistema con su antivirus y un par de Antivirus Online, ya que en la mayoría de los casos este problema es causado por una infección.

Ver Archivos Ocultos

Pregunta: No puedo activar la opción Ver Archivos Ocultos

Respuesta: Este problema en la gran mayoría de los casos es ocasionado por un virus llamado SXS que se transmite mediante las memorias USB.

Para poder solucionar este problema seguimos estos pasos:

- Descargar y ejecutar la herramienta RegUnlocker utilizando la opción "Reparar la visualización de archivos ocultos".

Si el problema continúa seguir estos pasos:

- Ir a Inicio-->Ejecutar, escribir regedit y presionar la tecla Enter.

- En el Editor de registro navegar hasta llegar a esta clave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- En el panel de la derecha de la subclave Advanced, buscar el valor Hidden y darle doble clic.

- Si Hidden tiene asignado el valor 2, significa que NO se mostrarán los archivos o carpetas ocultos. Por el contrario si Hidden tiene asignado el valor 1, significa que SI se mostrarán los archivos o carpetas ocultos.

- Cerrar el Editor de Registro y analizar el sistema con su antivirus y un par de Antivirus Online

- Reiniciar el sistema y verificar los resultados.

Herramientas de seguridad gratuitas

Pregunta: ¿Cuál es el mejor Antivirus/Antispyware/Firewall gratuito?

Para gustos y colores no han escrito los autores dice un conocido dicho, mientras a unas personas les va bien, por ejemplo, con un antivirus, a muchas otras no les va bien con el mismo antivirus, por lo que lo mas recomendable es “pruébelo usted mismo” mas aún si estos programas son gratuitos.

Les dejo una recopilación de herramientas de seguridad gratuitas:

Antivirus:

• Avast
• Avira Antivir
• AVG
• Bit Defender

Antispywares:

• Ad-Aware 2007
• AVG Antispyware (ex-Ewido)
• Spybot Search & Destroy
• SpywareBlaster
• Super AntiSpyware
• Windows Defender

Firewall:

• Comodo Personal Firewall
• Sygate Personal Firewall
• Zone Alarm Para uso no comercial exclusivamente

Enlaces de interés:

• ¿Mas de un Antivirus Residente?
• Infospyware
• Lista de AntiSpywares sospechosos y no confiables

Virus en la caché de Java

Pregunta: Mi antivirus detecta infecciones en la caché de Java ¿Cómo puedo eliminarlas?

Respuesta: Si las infecciones que ha encontrado su antivirus se encuentran en la caché de Java:

C:\Documents and Settings\<nombre de usuario>\Application Data\Sun\Java\Deployment\cache\javapi\v1. 0\jar\

Realizando una limpieza de la caché de Java se soluciona el problema.

Para limpiar la caché de Java seguir estos pasos:

• Pasos 1
• Pasos 2

Firewall de Windows

Pregunta: No puedo habilitar el Firewall de Windows, aparece un mensaje "Debido a un problema no identificado, Windows no puede mostrar la configuración de Firewall de Windows"



Respuesta: Muchas infecciones tienen la "virtud" de desactivar el Firewall de Windows sin que podamos volver a activarlo de manera normal. Para solucionar este problema seguimos estos pasos:

- Descargar y ejecutar este parche

- Reiniciar la máquina.

- Ir a Inicio-->Ejecutar, escribir cmd y presionar la tecla Enter.

- En la Consola de comandos, escribir NETSH FIREWALL RESET

- Reiniciar nuevamente el sistema y verificar los resultados.

- Debido a que la causa de este problema es por una infección, tras seguir los pasos anteriormente mencionados, realizar un análisis y limpieza con al menos 2 Antivirus Online.

Página de Inicio

Pregunta: Mi página de inicio ha sido cambiada/bloqueada y no puedo cambiarla/desbloquearla

Respuesta: Este tipo de síntoma la realiza una infección llamada Hijacker que vienen en distintos programas como por ejemplo "Instalar guiños gratuitos". Esta infección cambia ciertos valores de registro para que la página de inicio sea cambiada y/o bloqueada.

Para liberar la página de su secuestro Forospyware ha creado una herramienta llamada Inirem el cual desbloquea y cambia la página de inicio por la que usted elija.

Para descartar que haya mas infecciones en su sistema, tras seguir los pasos anteriormente mencionados, realizar un análisis y limpieza con al menos 2 Antivirus Online.

Totour.exe

Pregunta: Mi antivirus detecta como infección a totour.exe y no puede eliminarlo.

Respuesta: Esta es una infección que se está dando últimamente, pero gracias a herramientas gratuitas podemos resolver el problema.

1.- Descargue y ejecute la herramienta SDFix siguiendo los pasos de su manual.

2.- Descargue el SUPERAntiSpyware instálelo y actualízelo luego realizar un escaneo en Modo Seguro

3.- Descargue y ejecute el Ccleaner y siguiendo los pasos de su manual utilizar las opciones Limpiador y Registro.

4.- Reiniciar la máquina y realizar un escaneo con Ewido Online.

- En caso que el problema persista, repita los pasos del 1 al 4, pero en el Paso 1 reemplace la herramienta SdFix por la herramienta ComboFix

Ventanas de publicidad

Pregunta: Me aparecen ventanas de publicidad, popups, ventanas emergentes ¿Cómo puedo eliminarlas?

Respuesta: Esta publicidad es conocida como Adware y despliega publicidad a manera de popups.

Son diversas variantes de infección que utilizan este método, pero los casos mas comunes provienen de infecciones como:

• Lop.com
• Vundo
• Look2me
• Adware.Navipromo

Si le aparecen ventanas emergentes es muy probable que tenga alguna de estas infecciones. Lo pasos para su eliminación son los siguientes:

1.- Lop.com

Este adware ya tiene mucho tiempo en circulación y su principal difusor es el patrocinador del programa Messenger Plus!

Si le aparecen ventanas emergentes y tiene instalado el patrocinador del Messenger Plus, lo mas recomendable es desinstalar el patrocinador, luego el Messenger Plus y luego seguir los pasos de este enlace.

2.- Vundo o Virtumonde

Esta infección crea archivos de nombre aleatorios con extensión dll, y algunas variantes de esta infección no se ven reflejadas en un log de Hijackthis, lo que hace mas difícil su detección

Los pasos para su eliminación se describen en este mensaje.

3.- Look2me

Esta infección al igual que Vundo, crean archivos de nombre aleatorio con extensión dll, pero a su vez añade direcciones al archivo Hosts de manera que pueda redireccionarnos a sitios determinados por la infección o inclusive bloquearnos el acceso a ciertas páginas web.

Los pasos para su eliminación se describen en este mensaje

4.- Adware.Navipromo

Esta infección tiene la particularidad de crear archivos aleatorios, con la particularidad de tener el "agregado" _nav y _navps los dos del tipo dat

C:\WINDOWS\system32\refqxegcn.exe
C:\WINDOWS\system32\refqxegcn.dat
C:\WINDOWS\system32\refqxegcn_nav.dat
C:\WINDOWS\system32\refqxegcn_navps.dat

Los pasos para su eliminación se describen en este mensaje

Virus en el MSN Messenger

Pregunta: El MSN Messenger envía mensajes a mis contactos con enlaces de descarga de fotos/videos, ¿Cómo puedo eliminar esa infección?

Respuesta: Para ello Forospyware ha creado una herramienta llamada MSNCleaner, utilice esta herramienta siguiendo los pasos de su manual.

Tea Timer

Pregunta: ¿Qué es el Tea Timer y como lo activo/desactivo?

Respuesta: Tea Timer es un complemento que nos ofrece Spybot Search & Destroy cuyo principal objetivo es "vigilar" los cambios que se realizan en el registro, ya sea por acción voluntaria o por medio de alguna infección. Cuando se intenta realizar un cambio en el registro, Tea Timer envía un mensaje preguntando si deseamos aceptar o denegar el cambio en el registro.

Los pasos para activarlo/desactivarlo son los siguientes:

1.- Ejecute Spybot S&D y clic al menú Modo-->Modo Avanzado



2.- Aparecerá un mensaje de confirmación donde debemos presionar la opción SI



3.- En la parte inferior izquierda aparecerá un Menú adicional de opciones, debemos elegir la opción Herramientas



4.- Dentro de Herramientas debemos elegir la opción Residente



5.- En esta sección veremos 2 opciones, es recomendable que activemos ambas protecciones, obviamente la que pertenece al Tea Timer lo indica en la opción:



6.- Cerramos el Spybot S&D y veremos en la tray icon (al lado del reloj) que tenemos un ícono adicional, esto significa que ya estamos protegidos por el Tea Timer.



Para desactivar el Tea Timer debemos seguir los pasos del 3 al 5, pero ahora debemos desmarcar la opción del Tea Timer.

La desactivación del Tea Timer es necesaria antes de realizar una desinfección, para que este no impida los cambios a realizar en el registro. Tras la desinfección podemos activarlo nuevamente.

Activar autoejecución de memorias USB y CD-ROM

Pregunta: Al insertar mi memoria USB o CD-ROM no aparece el menú de opciones de ejecución



Esto es causado por una infección transmitida por memorias USB, para reparar este problema existe una herramienta creada por Microsoft llamada AutoFix

- El primer paso debe ser erradicar la infección, para ello debe realizar un escaneo con su antivirus en Modo Seguro o realizar un escaneo con un par de Antivirus Online (Recomendado: Panda y Ewido) en Modo Seguro con funciones de red.

Luego siga estos pasos:

- Conecte su dispositivo USB a la computadora.

- Descargue y ejecute la herramienta AutoFix este nos mostrará esta ventana, donde deberá presionar el botón Siguiente:



- Aparecerá la siguiente ventana, donde debemos verificar si la efectividad de los controles mundiales funcionan adecuadamente, si hubiera problemas entonces presionamos el botón Repair



- En la siguiente ventana debemos elegir la unidad que no está funcionando de manera adecuada y presionamos el botón Siguiente:



- El programa detectará los problemas y ofrecerá la opción de repararlos, por lo que deberá presionar el botón Repair en ese caso:



- El programa guarda los detalles de la reparación en un archivo txt, en la ubicación que menciona la ventana respectiva:



- Desconecte su memoria USB de la computadora, reinicie el sistema y cuando conecte la memoria USB, esta ya debería funcionar de manera adecuada.

AVG Antivirus (todas las versiones)

Pregunta:
AVG me detecta que el archivo shell32 ha cambiado (the shell32.dll file in windows has changed)

Respuesta:
- Abrir el AVG Test Center y presionar la tecla F3 y aceptar los cambios.

- Si el problema persiste entonces buscar y eliminar el archivo C:\AVG7QT.DAT y AVG lo repondrá la próxima vez que arranque.

Modo Seguro

Pregunta:
No puedo iniciar en Modo Seguro en Windows XP

Respuesta:
Muchos malwares restringen el acceso al Modo Seguro ya que este es el modo solamente se ejecutan los archivos necesarios para el funcionamiento del sistema, y por ende, no se ejecutan los archivos pertenecientes a los malwares.

La clave de registro que se ve afectada es esta:

Para su repararción es necesario modificar ciertos valores en el registro, referentes a esta clave, pero el manejo manual del registro es muy riesgoso por lo que hay un parche llamado SafeModRepair que modifica estas claves automáticamente.

Para reparar el Modo Seguro en Windows XP, siga estos pasos:

• Descargue la herramienta SafeModRepair.zip (al final del post) y guárdela en el Escritorio de Windows.
• Doble clic al archivo SafeMode Repair.reg
• Aparecerá un mensaje si desea añadir la información al registro, debe dar clic al botón SI
• Reinicie el sistema y verifique si puede acceder en Modo Seguro.

Gusano Conficker / Downadup

Pregunta:
¿Cómo eliminar el gusano Conficker / Downadup?

Respuesta:
La solución se encuentra en este enlace cortesía de Forospyware

Herramienta Online que identifica si una pagina es una web atacante

Herramienta web
Por si alguna vez te topas con un enlace de un pagina que puede ser sospechoza
utiliza esta herramienta online que verifica si es un web atacante

http://www.urlvoid.com/

Muy buenas las explicaciones y sugerencias que se debe hacer ante una infección. Adiciono, algunos enlaces.

Scanners online que detectan y eliminan ante una infección (en modo seguro o a prueba de errores especialmente para que el malware no se este ejecutando)

http://www.f-secure.com/en_EMEA-Labs...nline-scanner/

http://www.bitdefender.es/scanner/online/free.html

http://housecall.trendmicro.com/la/


Programas que pueden complementar tu programa de seguridad

Malwarebyte antimalware:

http://www.malwarebytes.org/mbam.php

Superantispyware:

http://www.superantispyware.com/down...NTISPYWAREFREE


Programas adicionales para hacer una limpieza del sistema, antes o después de hacer un escaneo con los antivirus online.

http://download.glarysoft.com/gusetup_slim.exe

http://www.piriform.com/ccleaner

Si se presenta errores en el inicio de windows.

http://support.microsoft.com/kb/315265/es

Les dejo dos herramientas adicionales en caso de infección.

----------------------------------------------
Cómo instalar G Data FakeAV Cleaner:

No es sencillo desinstalar un programa sacareware sin una herramienta externa pues su código malicioso está diseñado para evitar las desinstalaciones manuales. G Data FakeAV Cleaner es todo lo que se necesita para desinstalar con éxito cualquiera de estos programas scareware. Basta seguir estos pasos:



1. Descarga la aplicación desde el siguiente enlace: https://www.gdata.es/?eID=PushFile&d...7;3AAFIIDQM%3D

2. Si lo haces desde un ordenador no infectado, traslada el archivo hasta el sistema afectado.

3. Ejecuta el archivo G Data FakeAV Cleaner ("svchost.exe").

4. Reinicia el ordenador para completar la instalación.



Consejos de G Data para evitar las infecciones de falsos antivirus y falsas herramientas de sistema:
Para proteger el ordenador y sus datos, G Data recomienda instalar un completo paquete de seguridad que incluya filtro http y mantenerlo permanentemente actualizado. Además, es recomendable:



1. Descarga solo software original desde websites y tiendas oficiales o reconocidas.

2. Mantén actualizadas tus aplicaciones, especialmente sistemas operativos y navegadores.

3. Piensa dos veces antes de hacer click en un enlance. Los enlaces maliciosos pueden redirigirte a páginas que distribiuyen scareware.

4. Repasa cuidadosamente la ortografía de las alertas o los conocidos como mensajes 'pop up' que se abran en su navegador. Si contiene errores ortográficos o gramaticales es probable que se trate de un intento de estafa.

-----------------------------------------------


De acuerdo con un reporte de AV-Test, el rendimiento de Safety Scanner es muy similar al que tiene el antivirus de Microsoft, Security Essentials 2.0, aunque con la ventaja de que no requiere instalación y pesa poco más de 60MB, lo que lo hace ideal para transportarlo en un llavero USB. Además, también es totalmente gratis.

Microsoft Safety Scanner expira 10 días después de la descarga. Para volver a ejecutar un análisis con las últimas definiciones contra malware, debe descargar y volver a ejecutar Microsoft Safety Scanner.

http://www.microsoft.com/security/sc...s/default.aspx

Saludos.

Increibles las aportaciones, tenía ciertas dudas sobre svchost, sobre el modo seguro de windows (porque no aparece a veces) y otras cosas.

Muy útil. Enhorabuena !!

Muy buena noche compañeros;

Mi pregunta es si es posible salvar archivos con virus en USB si lo subo a Mega Sync o a Dropbox... O los perdí ? El problema fue que le preste la USB a un amigo y le metió virus troyano según detecta anti iris... Pero no sé si se infectó solo el archivo o toda la USB.... Es una USB de 16G SanDisk