jueves, 4 de junio de 2009

Virus

Hace unos días entró un virus en mi ordenador. Pensé que teniendo el Antivirus funcionando no tendría ningún problema pero poco a poco me fui dando cuenta de que el antivirus solo funcionaba para impedir la ejecución constante de varios ficheros. Pasé el antivirus completo pero no detectó ningún problema después de 1 Terabyte revisado.

Así que decidí eliminar el virus. Lo primero que hice fue buscar en el administrador de tareas los procesos activos, ya que si un programa se ejecutaba de repente debía ser por culpa de alguno de los programas activos en la memoria. Eliminé algunos que podrían ser sospechosos, pero seguían saliendo los mensajes del antivirus diciendo que había impedido la ejecición del programa. Como veía que siguiendo esa línea no conseguía nada miré los programas que se cargan automáticamente en el arranque. Ahí sí pude ver algo. Había dos o tres líneas que hacían referencia a dll's que al parecer se cargaban mediante rundll32.exe que estaba en la carpeta system32 de Windows.

Mi primer impulso fue eliminarlo, pero me di cuenta de que rundll32 carga cualquier dll del sistema. Así que la única manera que tenía de recuperar ese archivo era con el archivo original de Windows. Intenté con el cd de instalación que se sobreescribieran todos los archivos de sistema, pero no pude, así que al final terminé instalando otro sistema operativo. Una vez instalado copié el archivo del sistema operativo nuevo al antiguo y no dio resultado.

En principio parecía que el virus no daría demasiada lata, pero me di cuenta de que, curiosamente, no podía acceder a facebook o tuenti, en cambio sí podía entrar en gmail por ejemplo. Cosa rara. Pensé que el error podía estar en el explorer.exe así que lo paré y mediante el símbolo de sistema de windows copié también el explorer.exe nuevo al antiguo sistema operativo. La cosa seguía igual.

Decidí volver a la línea en la que dejé investigando los ficheros que se cargaban en el arranque. El nombre de los ficheros parecían nombres aleatorios. Si borraba estos archivos del arranque, volvían a aparecer simultáneamente. Intenté acceder a los ficheros en system32 y borrarlos pero no me dejó. Los puse en cuarentena, con el antivirus, pero no sirvió de nada. En cambio lo que sí que sirvió fue moverlos desde la carpeta system32 al escritorio. Para que surgiera todo efecto, reinicié el sistema. Al iniciar dio un error de que no encontraba el fichero, pero después todo siguió bien. Ahora ya podía borrar el archivo del arranque de Windows.

Así lo hice con los demás, pero me aparecían nuevos ficheros en el arranque. Me di cuenta de que todos estos ficheros estaban en system32 y tenían un patrón común. Todos tenían nombres aleatorios, todos eran dll's y todos estaban ocultos. Me recorrí toda la carpeta system32 borrando uno a uno y comprobando que el nombre no me sonara a ningún archivo importante del ordenador. Al final los borré todos. Cuando reinicié, me dieron error unos cuantos de esos ficheros, como la primera vez que no los encontraba y no volvió a salir ningún mensaje.

Después de mucha investigación y mucho tiempo conseguí deshacerme de un virus que me temo que entró por medio de un pendrive prestado.

No hay comentarios: